Identificação de aplicação do Network Packet Broker com base em DPI – Deep Packet Inspection

Inspeção Profunda de Pacotes (DPI)é uma tecnologia usada em Network Packet Brokers (NPBs) para inspecionar e analisar o conteúdo de pacotes de rede em um nível granular. Envolve a análise da carga útil, cabeçalhos e outras informações específicas do protocolo dentro dos pacotes para obter insights detalhados sobre o tráfego de rede.

O DPI vai além da simples análise de cabeçalhos e proporciona uma compreensão profunda dos dados que fluem pela rede. Ele permite uma inspeção aprofundada dos protocolos da camada de aplicação, como HTTP, FTP, SMTP, VoIP ou protocolos de streaming de vídeo. Ao examinar o conteúdo real dos pacotes, o DPI pode detectar e identificar aplicações, protocolos ou até mesmo padrões de dados específicos.

Além da análise hierárquica de endereços de origem, endereços de destino, portas de origem, portas de destino e tipos de protocolo, o DPI também adiciona análise da camada de aplicação para identificar diversas aplicações e seus conteúdos. Quando o pacote 1P, os dados TCP ou UDP fluem através do sistema de gerenciamento de largura de banda baseado na tecnologia DPI, o sistema lê o conteúdo do carregamento do pacote 1P para reorganizar as informações da camada de aplicação no protocolo OSI da Camada 7, de modo a obter o conteúdo de todo o programa aplicativo e, em seguida, moldar o tráfego de acordo com a política de gerenciamento definida pelo sistema.

Como funciona o DPI?

Firewalls tradicionais geralmente não têm o poder de processamento necessário para realizar verificações completas em tempo real em grandes volumes de tráfego. Com o avanço da tecnologia, o DPI pode ser usado para realizar verificações mais complexas de cabeçalhos e dados. Normalmente, firewalls com sistemas de detecção de intrusão costumam usar o DPI. Em um mundo onde a informação digital é primordial, cada pedaço de informação digital é entregue pela internet em pequenos pacotes. Isso inclui e-mails, mensagens enviadas por aplicativo, sites visitados, conversas por vídeo e muito mais. Além dos dados em si, esses pacotes incluem metadados que identificam a origem do tráfego, o conteúdo, o destino e outras informações importantes. Com a tecnologia de filtragem de pacotes, os dados podem ser monitorados e gerenciados continuamente para garantir que sejam encaminhados para o lugar certo. Mas, para garantir a segurança da rede, a filtragem de pacotes tradicional está longe de ser suficiente. Alguns dos principais métodos de inspeção profunda de pacotes no gerenciamento de redes estão listados abaixo:

Modo de correspondência/assinatura

Cada pacote é verificado por um firewall com recursos de sistema de detecção de intrusão (IDS) para verificar sua correspondência com um banco de dados de ataques de rede conhecidos. O IDS busca padrões maliciosos específicos conhecidos e desabilita o tráfego quando padrões maliciosos são encontrados. A desvantagem da política de correspondência de assinaturas é que ela se aplica apenas a assinaturas atualizadas com frequência. Além disso, essa tecnologia só oferece proteção contra ameaças ou ataques conhecidos.

DPI

Exceção de Protocolo

Como a técnica de exceção de protocolo não permite simplesmente todos os dados que não correspondem ao banco de dados de assinaturas, a técnica de exceção de protocolo usada pelo firewall IDS não apresenta as falhas inerentes ao método de correspondência de padrões/assinaturas. Em vez disso, adota a política de rejeição padrão. Por definição do protocolo, os firewalls decidem qual tráfego deve ser permitido e protegem a rede contra ameaças desconhecidas.

Sistema de Prevenção de Intrusão (IPS)

As soluções IPS podem bloquear a transmissão de pacotes nocivos com base em seu conteúdo, interrompendo, assim, ataques suspeitos em tempo real. Isso significa que, se um pacote representar um risco de segurança conhecido, o IPS bloqueará proativamente o tráfego de rede com base em um conjunto definido de regras. Uma desvantagem do IPS é a necessidade de atualizar regularmente um banco de dados de ameaças cibernéticas com detalhes sobre novas ameaças e a possibilidade de falsos positivos. No entanto, esse perigo pode ser mitigado pela criação de políticas conservadoras e limites personalizados, pelo estabelecimento de um comportamento básico apropriado para os componentes da rede e pela avaliação periódica de avisos e eventos relatados para aprimorar o monitoramento e os alertas.

1- O DPI (Deep Packet Inspection) no Network Packet Broker

A "profunda" é a comparação de análise de pacotes comuns e de nível, a "inspeção de pacotes comuns" apenas a seguinte análise da camada 4 do pacote IP, incluindo o endereço de origem, endereço de destino, porta de origem, porta de destino e tipo de protocolo, e DPI, exceto com a análise hierárquica, também aumentou a análise da camada de aplicação, identificou as várias aplicações e conteúdo, para realizar as funções principais:

1) Análise de aplicação – análise de composição de tráfego de rede, análise de desempenho e análise de fluxo

2) Análise do usuário — diferenciação de grupos de usuários, análise de comportamento, análise de terminais, análise de tendências, etc.

3) Análise de Elementos de Rede – análise baseada em atributos regionais (cidade, distrito, rua, etc.) e carga da estação base

4) Controle de tráfego — limitação de velocidade P2P, garantia de QoS, garantia de largura de banda, otimização de recursos de rede, etc.

5) Garantia de segurança — ataques DDoS, tempestade de transmissão de dados, prevenção de ataques de vírus maliciosos, etc.

2- Classificação Geral de Aplicações de Rede

Hoje em dia, existem inúmeras aplicações na Internet, mas as aplicações web mais comuns podem ser exaustivas.

Até onde sei, a melhor empresa de reconhecimento de aplicativos é a Huawei, que afirma reconhecer 4.000 aplicativos. A análise de protocolos é o módulo básico de muitas empresas de firewall (Huawei, ZTE, etc.) e também é um módulo muito importante, apoiando a implementação de outros módulos funcionais, a identificação precisa de aplicativos e melhorando significativamente o desempenho e a confiabilidade dos produtos. Ao modelar a identificação de malware com base nas características do tráfego de rede, como estou fazendo agora, a identificação precisa e abrangente de protocolos também é muito importante. Excluindo o tráfego de rede de aplicativos comuns do tráfego de exportação da empresa, o tráfego restante representará uma pequena proporção, o que é melhor para análise e alarme de malware.

Com base na minha experiência, os aplicativos comumente usados ​​existentes são classificados de acordo com suas funções:

PS: De acordo com o entendimento pessoal da classificação do aplicativo, você tem alguma boa sugestão? Bem-vindo para deixar uma mensagem de proposta.

1). E-mail

2). Vídeo

3) Jogos

4). Classe OA do Office

5). Atualização de software

6). Financeiro (banco, Alipay)

7) Ações

8). Comunicação Social (software de mensagens instantâneas)

9). Navegação na web (provavelmente melhor identificada com URLs)

10). Ferramentas de download (disco web, download P2P, relacionado a BT)

20191210153150_32811

Então, como o DPI (Deep Packet Inspection) funciona em um NPB:

1). Captura de Pacotes: O NPB captura o tráfego de rede de várias fontes, como switches, roteadores ou taps. Ele recebe pacotes que fluem pela rede.

2) Análise de Pacotes: Os pacotes capturados são analisados ​​pelo NPB para extrair várias camadas de protocolo e dados associados. Esse processo de análise ajuda a identificar os diferentes componentes dentro dos pacotes, como cabeçalhos Ethernet, cabeçalhos IP, cabeçalhos da camada de transporte (por exemplo, TCP ou UDP) e protocolos da camada de aplicação.

3) Análise de Carga Útil: Com o DPI, o NPB vai além da inspeção de cabeçalhos e se concentra na carga útil, incluindo os dados reais contidos nos pacotes. Ele examina o conteúdo da carga útil em profundidade, independentemente da aplicação ou protocolo utilizado, para extrair informações relevantes.

4) Identificação de Protocolo: O DPI permite que o NPB identifique os protocolos e aplicativos específicos utilizados no tráfego de rede. Ele pode detectar e classificar protocolos como HTTP, FTP, SMTP, DNS, VoIP ou protocolos de streaming de vídeo.

5) Inspeção de Conteúdo: O DPI permite que o NPB inspecione o conteúdo dos pacotes em busca de padrões, assinaturas ou palavras-chave específicos. Isso permite a detecção de ameaças à rede, como malware, vírus, tentativas de intrusão ou atividades suspeitas. O DPI também pode ser usado para filtragem de conteúdo, aplicação de políticas de rede ou identificação de violações de conformidade de dados.

6) Extração de Metadados: Durante o DPI, o NPB extrai metadados relevantes dos pacotes. Isso pode incluir informações como endereços IP de origem e destino, números de porta, detalhes da sessão, dados de transação ou quaisquer outros atributos relevantes.

7). Roteamento ou Filtragem de Tráfego: Com base na análise de DPI, o NPB pode rotear pacotes específicos para destinos designados para processamento posterior, como dispositivos de segurança, ferramentas de monitoramento ou plataformas de análise. Ele também pode aplicar regras de filtragem para descartar ou redirecionar pacotes com base no conteúdo ou padrões identificados.

ML-NPB-5660 3D


Horário da publicação: 25/06/2023