1. Gigalight CommunautéAccueil
  2. Blogues
  3. Tutoriels

Guide pour l'inspection approfondie des paquets

L'inspection approfondie des paquets (DPI) est utilisée pour une analyse approfondie des paquets envoyés sur Internet. Chaque colis d'informations numériques, y compris le courrier électronique que vous envoyez, les appels VoIP que vous établissez et les sites Web que vous chargez, est transmis sur le Web sous forme de données structurées formatées, appelées «paquets». Ce paquet contient des métadonnées structurées qui garantissent votre les données sont acheminées vers la destination appropriée.

L’analyse de ces paquets est un processus connu sous le nom d’inspection approfondie des paquets (DPI), et cette pratique est utilisée quotidiennement par les entreprises, les fournisseurs de services Internet et les sociétés de médias.

Qu'est-ce que l'inspection approfondie des paquets?

Le trafic Internet est composé de petits paquets de données appelés paquets. Les paquets renferment des informations numériques dans un ensemble de métadonnées qui identifient la source, la destination, le contenu et d'autres informations précieuses du trafic. L'analyse du trafic numérique s'apparente beaucoup à l'analyse du trafic automobile: les schémas révèlent des informations utiles. En étudiant les métadonnées, telles que les en-têtes, à l'aide du logiciel DPI (Deep Packet Inspection), les spécialistes du réseau peuvent apprendre à optimiser les serveurs afin de réduire les frais généraux, de détecter et de décourager les pirates, de lutter contre les logiciels malveillants et d'autres informations statistiques, ainsi que de recueillir des informations détaillées sur le comportement des utilisateurs tout en gérant le trafic. .

Comme nous l'avons mentionné précédemment, DPI est principalement utilisé par les FAI, les entreprises de médias et les entreprises. Par analogie, si les paquets sont du courrier, les FAI sont le service postal et ont accès au trafic Web non chiffré ainsi qu'aux métadonnées de paquet telles que les en-têtes. Par exemple, les FAI utilisent souvent DPI pour déterminer l'utilisation des données, les limites de données, la limitation de bande passante, la conformité aux réglementations, la hiérarchisation du trafic, l'équilibrage de la charge ou la collecte de données statistiques auprès de ses abonnés. Cela fournit aux FAI une abondance d'informations utiles, et les entreprises exploitent l'accès aux données des utilisateurs de plusieurs manières. Aux États-Unis, la plupart des fournisseurs de services Internet sont autorisés à transmettre les données des utilisateurs aux services répressifs. En outre, de nombreux fournisseurs de services Internet utilisent les données des consommateurs pour cibler la publicité, analyser les habitudes de partage de fichiers, ainsi que les services et les vitesses d'accès par niveau.

DPI nous permet d’inspecter les paquets au-delà de l’en-tête et du pied de page. Il peut creuser plus profondément et obtenir des informations granulaires telles que l'application à laquelle appartient le paquet et son contenu.

DPI supprime l'en-tête et le pied de page du paquet et inspecte les données utiles pour effectuer une correspondance de signature, en recherchant une chaîne spécifique et d'autres détails.

DPI

DPI utilise plusieurs méthodes pour effectuer l'inspection. Parmi les méthodes les plus utilisées, citons les approches basées sur les ports, les statistiques et l’automatisation. Port-based est l'approche d'identification de protocole standard qui inspecte les champs de port dans les en-têtes TCP / UDP pour les numéros de port communément attribués au protocole respectif. En analyse statistique, l’accent est mis sur la classification du trafic plutôt que sur la charge utile et la collecte d’informations génériques telles que la longueur du paquet et les numéros de port permettant de classer le trafic. L’approche basée sur l’automatisation est la technique de correspondance motif / expression régulière largement préférée qui utilise une machine à états finis pour la correspondance de motif. Il comprend l'état suivant: état initial, état d'acceptation pour la correspondance des modèles et états intermédiaires pour les cas de correspondance partiels. La correspondance commence par l'état initial lorsqu'une chaîne de données utiles entre dans le moteur d'automatisation. Si le processus atteint l'état final, cela signifie que la correspondance est trouvée.

Maintenant que vous comprenez l’idée du DPI, comprenons comment fonctionne le DPI et comment la technologie DPI a évolué.

Modèle OSI et flux de paquets de données

Pour comprendre comment fonctionne le DPI et comment cette technologie a évolué, nous devons comprendre comment un paquet de données circule dans la pile de protocoles OSI.

Selon le modèle OSI, le système de communication entre l'expéditeur et le destinataire d'un paquet réseau est partitionné en sept couches:

  1. La couche d'application - Responsable de l'interaction avec le logiciel d'application.
  2. La couche de présentation - Responsable de la compression, du cryptage et du formatage des données présentées.
  3. La couche de session - Responsable de la création, de la gestion et de la fin de la communication d'une session.
  4. La couche de transport - Responsable du séquencement et de la livraison des données
  5. La couche réseau - Responsable de l'adressage et du routage des paquets du réseau.
  6. La couche de liaison de données - Responsable du formatage du paquet selon le support de transmission des paquets.
  7. La couche physique - Responsable de la définition du support et des caractéristiques des données transmises.
Modèle OSI

Lorsque nous saisissons une URL dans la barre d'adresse, les données transitent généralement par la pile de protocoles OSI de la manière suivante:

  1. Nous tapons l'URL dans la barre d'adresse du navigateur. La couche d'application interagit avec le logiciel correspondant, le navigateur Web. Le navigateur envoie une requête HTTP pour accéder à la page Web à partir du serveur Web. La demande est transmise à la couche suivante du modèle OSI - la couche de présentation.
  2. La couche de présentation concerne le format réel des données présentées. Lorsque le navigateur reçoit les données du serveur Web, la couche de présentation les présente dans un format approprié, tel que JPEG, MPEG, MOV, HTML, etc. Cette couche peut également chiffrer et compresser les données.
  3. La couche suivante est la couche de session. Cette couche est responsable de la création, de la gestion et de la fin de la communication de la session entre l'expéditeur et le destinataire des données. La couche session, la couche présentation et la couche application sont principalement responsables de la composition de la charge utile d'un paquet.
  4. La couche de transport traite du séquencement et de la livraison des données. Il segmente les données en paquets, séquence les paquets, établit une connexion entre la source et la destination des paquets, puis les transmet à travers la couche suivante du modèle OSI. Remarque : la couche de transport n'est pas concernée par la gestion et la fin des sessions. Il traite uniquement la connexion entre l'expéditeur et le destinataire des données.
  5. La couche réseau est responsable de l'adressage et du routage des paquets réseau. Il traite de la manière dont les paquets du réseau vont voyager d'une partie du réseau à l'autre. Cependant, il n'est pas question de savoir si les paquets reçus sont sans erreur. La couche de transport prend soin de cela.
  6. La couche liaison de données formate les paquets en fonction du support utilisé pour la transmission des paquets - par exemple, support sans fil, connexion Ethernet, etc.
  7. La couche physique ne modifie pas les données réelles des paquets. Il définit le support et les caractéristiques des données transmises. La couche physique, la couche liaison de données, la couche réseau et la couche transport sont principalement responsables de la composition des en-têtes de paquets réseau.

Types d'inspections de paquets

Initialement, l’inspection des paquets était utilisée dans les pare-feu traditionnels. Ils utiliseraient cette technologie pour surveiller et filtrer les paquets pour la sécurité du réseau. Plus tard, cette technologie a progressivement évolué vers l'inspection approfondie des paquets. Aujourd'hui, DPI est largement utilisé dans les pare-feu modernes de nouvelle génération pour améliorer la sécurité du réseau, bien que son utilisation ne soit pas du tout limitée à cela. Il est largement utilisé pour l'optimisation du contenu, l'analyse du réseau et des abonnés et la régulation du contenu.

Les trois types d’inspection de paquets:

  • Inspection de paquets peu profonde
  • Inspection moyenne des paquets
  • Inspection approfondie des paquets

Inspection de paquets peu profonde

Inspection de paquets peu profonde est largement utilisé dans les pare-feu traditionnels. Cela fonctionne principalement dans les trois premières couches du modèle OSI. Cette technologie examine principalement les en-têtes des paquets du réseau pour décider si le paquet doit être transmis ou non.

L'inspection superficielle des paquets observe principalement les adresses IP source et de destination, le nombre de paquets dans lesquels le message est fragmenté, le nombre total de sauts dans l'acheminement du paquet et les données de synchronisation pour le réassemblage des paquets, etc., afin de décider si le paquet doit être traité ultérieurement.

Inspection moyenne des paquets

Inspection moyenne des paquets est largement utilisé dans les mandataires d’application. Ils examinent les en-têtes de paquet et limitent la quantité de charge utile du paquet. Ces informations sont ensuite comparées à une liste d'analyse pré-chargée, qui peut être facilement mise à jour par les administrateurs système. Une liste d'analyse autorise des types de paquets spécifiques basés sur les types de format de données et l'emplacement associé sur Internet, plutôt que sur leurs adresses IP uniquement.

La technologie d'inspection des paquets de taille moyenne peut examiner la couche de présentation de la charge utile du paquet, ce qui lui permet de détecter certains formats de fichier. À l'aide de dispositifs d'inspection de paquets moyens, les administrateurs peuvent ainsi empêcher les ordinateurs clients de recevoir des fichiers Flash de YouTube, des fichiers image de sites de réseaux sociaux, etc. L'inspection de paquets moyens peut même hiérarchiser certains paquets en fonction des commandes d'application et des formats de fichier associés. Il peut creuser dans le paquet pour identifier les commandes de protocole d'application qui lui sont associées, puis l'autoriser ou le refuser selon ces informations.

L'inspection des paquets moyens était une avancée considérable par rapport à l'inspection des paquets peu profonds. Mais le problème de cette technologie est qu’elle est peu évolutive, ce qui limite son utilité dans une large mesure.

La technologie d’inspection des paquets moyens ne peut examiner la charge utile des paquets que dans une certaine mesure. Ainsi, les dispositifs d’inspection de paquets moyens n’ont qu’une connaissance limitée des applications. Et nous avions besoin de quelque chose de plus.

Inspection approfondie des paquets

Inspection approfondie des paquets la technologie a évolué à cette fin. Il examine la charge utile des paquets et peut identifier l'origine et le contenu de chaque paquet pour prendre de nouvelles décisions.

Les dispositifs d'inspection approfondie de paquets utilisent des expressions pour définir des modèles d'intérêt dans les flux de données réseau. Il peut gérer les paquets en fonction de modèles spécifiques présents dans la charge utile des paquets.

Ainsi, un périphérique DPI peut examiner la charge utile de tous les paquets de données qui le traversent en temps réel. Cela signifie donc qu'un périphérique DPI peut examiner tout le trafic d'une adresse IP spécifique, sélectionner tout le trafic HTTP, capturer tout le trafic destiné à ou provenant d'un serveur de messagerie spécifique et réassembler ces courriers électroniques lorsqu'un utilisateur tape en dehors.

Qui affecte l'inspection approfondie des paquets

Au-delà des entreprises et des PME, DPI est principalement utilisé par:

  • Entreprises de médias. Les entreprises de médias ont une longue histoire de consolidation. Lorsque les FAI achètent des entreprises de médias, ils combinent des données de diffusion avec des données numériques pour tout déterminer, de la programmation télévisée et Web aux prix des services Internet pour entreprises et particuliers.
  • Les organismes d'application de la loi. Il est légal et parfois nécessaire que les fournisseurs de services Internet collectent et partagent des données collectées par le DPI pour les infractions liées aux violations de la propriété intellectuelle et au trafic de drogue et d'êtres humains.
  • Les consommateurs. La plupart des consommateurs sont conscients que les données personnelles sont à vendre, que l’on adore ou non. La plupart des consommateurs ne sont probablement pas conscients que leur fournisseur de services Internet analyse, rend généralement anonyme et revende leurs données de navigation personnelles à des agences de publicité.

Pourquoi l'inspection approfondie des paquets est-elle importante?

Bien que la détection de paquets soit une tactique archaïque, en raison de la taille même des périphériques connectés, le DPI est plus pertinent aujourd'hui que par le passé. Le DPI est pertinent pour trois raisons principales:

  • L'échelle de la connectivité. L'Internet d'aujourd'hui, particulièrement mobile, est plus important maintenant pour plus de gens pour plus de raisons que jamais. Chaque entreprise et chaque organisation s'appuie sur la technologie d'inspection du réseau pour optimiser le trafic, réduire les coûts indirects et prévenir les cyber-attaques. Le DPI n'est pas la seule ligne de défense, mais pour de nombreuses organisations, la première ligne de défense consiste à analyser et analyser les paquets.
  • Marché IoT. Comme le marché de la téléphonie mobile auparavant, l'IoT est en plein essor. De plus en plus de périphériques se connectent à Internet chaque jour, ce qui suscite des inquiétudes quant à leur exploitation répétée à des fins d'attaque DDOS. De nombreux périphériques IoT contemporains manquent souvent de microprogrammes standard et de normes de sécurité susceptibles de les protéger contre le lasso dans un botnet zombie. DPI protégera les fournisseurs de services Internet et les réseaux des attaques DDoS par IoT et aidera les analystes de la sécurité à en apprendre davantage sur les failles de sécurité critiques de l'IoT.
  • Problèmes de confidentialité. DPI aide les sociétés de médias et les fournisseurs de services Internet à mieux connaître les méthodes inimaginables de leurs clients. Chaque page que vous chargez et chaque élément de communication que vous envoyez est filtré et acheminé via un fournisseur de services Internet. Les fournisseurs de services Internet s'intègrent verticalement aux sociétés de médias (les fusions Comcast NBC / Universal et AT & T Time Warner en sont deux exemples) et exploitent leurs données pour cibler les consommateurs avec de la publicité et aident les services répressifs à collecter des informations. Les FAI utilisent DPI pour analyser le comportement des consommateurs sur Internet et vendre leurs données de navigation personnelles à des sociétés de marketing et de publicité. Cette pratique soulève des préoccupations concernant la vie privée des consommateurs. Il peut également être utilisé pour fournir aux agences de sécurité une surveillance non autorisée de l'activité d'un utilisateur, et les gouvernements peuvent empêcher les utilisateurs d'accéder à certains contenus non conformes à leur agenda.

Applications de l'inspection approfondie des paquets

La technologie d'inspection approfondie des paquets a plusieurs applications. Certaines applications majeures incluent:

Network Security

Il est largement utilisé dans les pare-feu de nouvelle génération pour surveiller et filtrer le trafic par application plutôt que par port, ce qui lui permet de résoudre les problèmes de réseau de manière plus efficace.

Anti-malware

Un appareil Deep Packet Inspection peut détecter et filtrer un large éventail de programmes malveillants, notamment des chevaux de Troie, des virus, des logiciels espions, des logiciels publicitaires et d'autres applications malveillantes. Il peut le faire en prenant principalement deux approches:

  • Détection d'URL - Les dispositifs d'inspection approfondie de paquets peuvent comparer les URL entrantes et incorporées à une base de données contenant celle de sites Web malveillants connus.
  • Détection d'objet - Les dispositifs d'inspection approfondie de paquets peuvent examiner le trafic pour rechercher des exécutables et des objets potentiellement dangereux, puis les analyser pour détecter les programmes malveillants.
  • Détection de signature - Les dispositifs d'inspection approfondie des paquets peuvent examiner la charge utile des paquets de données pour rechercher la présence de signatures de programmes malveillants connus. La correspondance des signatures est effectuée à l'aide d'une base de données de signatures connues de programmes malveillants et nécessite généralement l'aide des fournisseurs de services de sécurité pour mettre à jour la base de données de signatures.

filtrage d'URL

Les périphériques DPI peuvent examiner le trafic pour rechercher les URL demandées et bloquer les URL potentiellement nuisibles ou inappropriées.

Protocoles et reconnaissance des applications

DPI peut examiner le trafic pour distinguer les services de messagerie, notamment IMAP, POP3 et SMTP. Il peut identifier les protocoles tels que HTTP, FTP, TCP, etc. Il peut également examiner la charge utile du trafic de données pour détecter la présence de certains types de fichiers tels que Flash, YouTube, Windows Media, etc. Il peut identifier une grande variété de tunnels, de sessions, peer-to-peer, la messagerie et les protocoles VoIP afin qu'il puisse acheminer les données pour un traitement ultérieur.

Gestion du réseau

Le DPI peut être utilisé pour maintenir la qualité de service (QoS) des utilisateurs finaux. Il peut être utilisé pour différencier différents types de trafic et pour hiérarchiser ou réduire ces différents types de trafic afin de maintenir une qualité de service de base.

Facturation et comptage du trafic

Les fournisseurs de services Internet peuvent utiliser le DPI pour offrir aux abonnés différents niveaux d'accès, tels que l'utilisation, les limites de données, la bande passante, etc. Ils peuvent également être utilisés pour respecter certaines réglementations en matière de trafic, hiérarchiser le trafic et équilibrer la charge.

Analyse des abonnés

Parfois, les fournisseurs de services Internet utilisent DPI pour collecter des informations statistiques sur leurs abonnés. Par exemple, les fournisseurs de services Internet peuvent collecter des informations sur les habitudes de navigation de leurs abonnés et, plus tard, sur ces informations pour améliorer leurs revenus marketing.

Distribution d'applications et équilibrage de charge

DPI peut être utilisé pour examiner le contenu du paquet, puis pour le rediriger vers différentes destinations à des fins d'équilibrage de la charge et de tolérance aux pannes.

Règlement du contenu

DPI peut être utilisé pour examiner le trafic et bloquer le contenu potentiellement dangereux ou illégal.

Application du droit d'auteur

Le DPI peut être utilisé pour examiner le contenu du paquet et détecter et bloquer automatiquement le partage non autorisé de contenu protégé par le droit d'auteur, y compris de fichiers musicaux ou vidéo.

Conclusion

DPI sert à de nombreuses fins, de la sécurité du réseau à une menace potentielle pour la vie privée. Mais attendez! Qu'en est-il du cryptage? Nous assistons à une énorme poussée en faveur du cryptage de tout le trafic Internet. Cela ne va-t-il pas entraver le DPI? La nouvelle version du protocole Web, HTTP / 2 nécessite que les communications cryptées fonctionnent même.

HTTPS chiffre les connexions, mais votre navigateur doit émettre des requêtes DNS qui sont envoyées principalement via UDP afin que les données soient collectées, ainsi que les liens non cryptés ou les cookies non cryptés envoyés de manière incorrecte sans HTTPS. Ces éléments supplémentaires qui seront collectés peuvent être très révélateurs du type de contenu que vous consultez. C'est pourquoi vous devriez chiffrer votre DNS.

Alors, sommes-nous à l'abri de DPI? La réponse courte est non, ces sociétés ne sont pas aussi rapides à se débarrasser de DPI, mais peuvent utiliser une technologie appelée SSLBump, qui agirait comme un homme du milieu pour DPI. Par exemple, votre lieu de travail se fait passer pour le crypté site que vous allez. Parce qu'ils contrôlent votre ordinateur, vous ne savez même pas que cela se produit. Puis ils décrypter votre trafic Internet pour utiliser le DPI sur celui-ci, puis le rechiffrer sur Internet.

Ces outils ont été développés pour détecter les problèmes sur un réseau. Il existe de meilleures méthodologies pour détecter les incidents sur un réseau par rapport à DPI / SSLBump qui sont également meilleures en termes de confidentialité. Bien que les entreprises ne semblent pas disposées à abandonner le DPI.

Cet article est de ThePrivacyMachine et publié après autorisation. Il ne représente pas Gigalight Position de la communauté. Avant de reproduire, s'il vous plaît contacter l'auteur original.

Contactez-Nous

Courriel: sunwf@gigalight.com