Inspeção profunda de pacotes (DPI)É uma tecnologia usada em Network Packet Brokers (NPBs) para inspecionar e analisar o conteúdo de pacotes de rede em um nível granular. Envolve o exame da carga útil, dos cabeçalhos e de outras informações específicas do protocolo dentro dos pacotes para obter insights detalhados sobre o tráfego de rede.
A inspeção profunda de pacotes (DPI) vai além da simples análise de cabeçalhos e proporciona uma compreensão profunda dos dados que trafegam em uma rede. Ela permite a inspeção detalhada dos protocolos da camada de aplicação, como HTTP, FTP, SMTP, VoIP ou protocolos de streaming de vídeo. Ao examinar o conteúdo real dos pacotes, a DPI pode detectar e identificar aplicações, protocolos ou até mesmo padrões de dados específicos.
Além da análise hierárquica de endereços de origem, endereços de destino, portas de origem, portas de destino e tipos de protocolo, a DPI também adiciona a análise da camada de aplicação para identificar várias aplicações e seus conteúdos. Quando o pacote 1P, seja TCP ou UDP, flui pelo sistema de gerenciamento de largura de banda baseado na tecnologia DPI, o sistema lê o conteúdo do pacote 1P para reorganizar as informações da camada de aplicação no protocolo da camada 7 do modelo OSI, obtendo assim o conteúdo de todo o programa de aplicação e, em seguida, moldando o tráfego de acordo com a política de gerenciamento definida pelo sistema.
Como funciona o DPI?
Os firewalls tradicionais geralmente não possuem a capacidade de processamento necessária para realizar verificações completas em tempo real em grandes volumes de tráfego. Com o avanço da tecnologia, a Inspeção Profunda de Pacotes (DPI) pode ser usada para realizar verificações mais complexas, analisando cabeçalhos e dados. Normalmente, firewalls com sistemas de detecção de intrusão utilizam DPI. Em um mundo onde a informação digital é fundamental, cada fragmento de informação digital é transmitido pela internet em pequenos pacotes. Isso inclui e-mails, mensagens enviadas por aplicativos, sites visitados, videochamadas e muito mais. Além dos dados em si, esses pacotes contêm metadados que identificam a origem do tráfego, o conteúdo, o destino e outras informações importantes. Com a tecnologia de filtragem de pacotes, os dados podem ser monitorados e gerenciados continuamente para garantir que sejam encaminhados para o local correto. No entanto, para garantir a segurança da rede, a filtragem de pacotes tradicional está longe de ser suficiente. Alguns dos principais métodos de inspeção profunda de pacotes em gerenciamento de redes estão listados abaixo:
Modo de correspondência/assinatura
Cada pacote é verificado quanto à correspondência com um banco de dados de ataques de rede conhecidos por um firewall com recursos de sistema de detecção de intrusão (IDS). O IDS busca padrões maliciosos específicos conhecidos e bloqueia o tráfego quando esses padrões são encontrados. A desvantagem da política de correspondência de assinaturas é que ela se aplica apenas a assinaturas que são atualizadas com frequência. Além disso, essa tecnologia só pode defender contra ameaças ou ataques conhecidos.
Exceção de protocolo
Como a técnica de exceção de protocolo não permite simplesmente todos os dados que não correspondem ao banco de dados de assinaturas, ela, utilizada pelo firewall IDS, não apresenta as falhas inerentes ao método de correspondência de padrões/assinaturas. Em vez disso, adota a política de rejeição padrão. Por definição de protocolo, os firewalls decidem qual tráfego deve ser permitido e protegem a rede contra ameaças desconhecidas.
Sistema de Prevenção de Intrusões (IPS)
As soluções IPS podem bloquear a transmissão de pacotes maliciosos com base em seu conteúdo, interrompendo assim possíveis ataques em tempo real. Isso significa que, se um pacote representar um risco de segurança conhecido, o IPS bloqueará proativamente o tráfego de rede com base em um conjunto definido de regras. Uma desvantagem do IPS é a necessidade de atualizar regularmente um banco de dados de ameaças cibernéticas com detalhes sobre novas ameaças, além da possibilidade de falsos positivos. No entanto, esse risco pode ser mitigado pela criação de políticas conservadoras e limites personalizados, pelo estabelecimento de comportamentos de referência adequados para os componentes da rede e pela avaliação periódica de avisos e eventos relatados para aprimorar o monitoramento e os alertas.
1- A DPI (Inspeção Profunda de Pacotes) no Network Packet Broker
A análise "profunda" compara a análise de pacotes comum com a análise de pacotes "comum". A "inspeção de pacotes comum" analisa apenas a quarta camada do pacote IP, incluindo endereço de origem, endereço de destino, porta de origem, porta de destino e tipo de protocolo. Já a DPI, além da análise hierárquica, também inclui a análise da camada de aplicação, identificando as diversas aplicações e conteúdos, para realizar suas principais funções.
1) Análise de Aplicações -- análise da composição do tráfego de rede, análise de desempenho e análise de fluxo.
2) Análise de Usuários -- diferenciação de grupos de usuários, análise comportamental, análise de terminais, análise de tendências, etc.
3) Análise de Elementos de Rede -- análise baseada em atributos regionais (cidade, distrito, rua, etc.) e carga da estação base
4) Controle de tráfego -- Limitação de velocidade P2P, garantia de QoS, garantia de largura de banda, otimização de recursos de rede, etc.
5) Garantia de segurança -- ataques DDoS, tempestades de transmissão de dados, prevenção de ataques de vírus maliciosos, etc.
2- Classificação geral de aplicações de rede
Hoje em dia existem inúmeras aplicações na Internet, mas a lista de aplicações web comuns pode ser exaustiva.
Pelo que sei, a melhor empresa em reconhecimento de aplicativos é a Huawei, que afirma reconhecer 4.000 aplicativos. A análise de protocolos é o módulo básico de muitos firewalls (Huawei, ZTE, etc.) e também um módulo muito importante, pois dá suporte à implementação de outros módulos funcionais, à identificação precisa de aplicativos e melhora significativamente o desempenho e a confiabilidade dos produtos. Na modelagem da identificação de malware com base nas características do tráfego de rede, como estou fazendo agora, a identificação precisa e abrangente de protocolos também é fundamental. Excluindo o tráfego de rede de aplicativos comuns do tráfego de exportação da empresa, o tráfego restante representará uma pequena proporção, o que é melhor para a análise e o alerta de malware.
Com base na minha experiência, as aplicações mais utilizadas atualmente são classificadas de acordo com suas funções:
PS: De acordo com meu entendimento pessoal sobre a classificação do aplicativo, se você tiver alguma sugestão, fique à vontade para deixar uma mensagem com sua proposta.
1) E-mail
2) Vídeo
3) Jogos
4) Classe Office OA
5) Atualização de software
6) Financeiro (banco, Alipay)
7) Ações
8) Comunicação social (software de mensagens instantâneas)
9) Navegação na Web (provavelmente melhor identificada com URLs)
10) Ferramentas de download (web disk, download P2P, relacionadas a BT)
Então, como funciona o DPI (Deep Packet Inspection) em um NPB:
1) Captura de Pacotes: O NPB captura o tráfego de rede de várias fontes, como switches, roteadores ou taps. Ele recebe os pacotes que fluem pela rede.
2) Análise de Pacotes: Os pacotes capturados são analisados pelo NPB para extrair várias camadas de protocolo e dados associados. Esse processo de análise ajuda a identificar os diferentes componentes dentro dos pacotes, como cabeçalhos Ethernet, cabeçalhos IP, cabeçalhos da camada de transporte (por exemplo, TCP ou UDP) e protocolos da camada de aplicação.
3) Análise da Carga Útil: Com a Inspeção Profunda de Pacotes (DPI), o NPB vai além da inspeção do cabeçalho e se concentra na carga útil, incluindo os dados reais dentro dos pacotes. Ele examina o conteúdo da carga útil em profundidade, independentemente do aplicativo ou protocolo usado, para extrair informações relevantes.
4) Identificação de Protocolo: A Inspeção Profunda de Pacotes (DPI) permite que o NPB identifique os protocolos e aplicativos específicos usados no tráfego de rede. Ela pode detectar e classificar protocolos como HTTP, FTP, SMTP, DNS, VoIP ou protocolos de streaming de vídeo.
5) Inspeção de Conteúdo: A Inspeção Profunda de Pacotes (DPI) permite que o NPB inspecione o conteúdo dos pacotes em busca de padrões, assinaturas ou palavras-chave específicos. Isso possibilita a detecção de ameaças à rede, como malware, vírus, tentativas de intrusão ou atividades suspeitas. A DPI também pode ser usada para filtragem de conteúdo, aplicação de políticas de rede ou identificação de violações de conformidade de dados.
6) Extração de Metadados: Durante a DPI, o NPB extrai metadados relevantes dos pacotes. Isso pode incluir informações como endereços IP de origem e destino, números de porta, detalhes da sessão, dados de transação ou quaisquer outros atributos relevantes.
7) Roteamento ou Filtragem de Tráfego: Com base na análise DPI, o NPB pode rotear pacotes específicos para destinos designados para processamento posterior, como dispositivos de segurança, ferramentas de monitoramento ou plataformas de análise. Ele também pode aplicar regras de filtragem para descartar ou redirecionar pacotes com base no conteúdo ou nos padrões identificados.
Data da publicação: 25/06/2023
