1. Gigalight 커뮤니티
  2. 블로그
  3. 자습서

딥 패킷 검사 가이드

DPI (Deep Packet Inspection)는 인터넷을 통해 전송 된 패킷에 대한 심층 분석에 사용됩니다. 보내시는 이메일, VoIP 통화 및로드하는 웹 사이트를 포함하여 모든 디지털 정보는 웹을 통해 "패킷"이라고하는 형식화 된 구조화 된 데이터로 전송됩니다.이 패킷 내부에는 데이터가 적절한 대상으로 라우팅됩니다.

이러한 패킷을 분석하는 과정은 DPI (Deep Packet Inspection)로 알려진 프로세스이며 기업 관행, 인터넷 서비스 공급자 (ISP) 및 미디어 회사에서 매일 실시합니다.

딥 패킷 검사 란 무엇입니까?

인터넷 트래픽은 패킷이라는 작은 묶음의 데이터로 구성됩니다. 패킷은 트래픽 소스, 목적지, 컨텐트 및 기타 중요한 세부 정보를 식별하는 메타 데이터 번들에 디지털 정보를 래핑합니다. 디지털 트래픽을 분석하는 것은 자동차 트래픽을 분석하는 것과 같습니다. 패턴은 유용한 통찰력을 나타냅니다. DPI (Deep Packet Inspection) 네트워크 전문가를 사용하여 헤더와 같은 메타 데이터를 연구하면 오버 헤드를 줄이고 해커를 탐지 및 차단하고 악성 코드와 다른 통계 정보를 처리하고 트래픽 관리를 수행하면서 사용자 행동에 대한 세부 정보를 수집하는 데 서버를 최적으로 최적화하는 방법을 학습 할 수 있습니다 .

앞에서 언급했듯이 DPI는 주로 ISP, 미디어 회사 및 기업에서 사용됩니다. 유추를 사용합니다. 패킷이 메일 인 경우 ISP는 우편 서비스이며 헤더와 같은 패킷 메타 데이터뿐만 아니라 암호화되지 않은 웹 트래픽에도 액세스 할 수 있습니다. 예를 들어, ISP는 종종 DPI를 사용하여 데이터 사용량, 데이터 제한, 대역폭 조절, 규정 준수, 트래픽 우선 순위 지정, 부하 분산 또는 가입자로부터의 통계 데이터 수집을 결정합니다. 이것은 ISP에게 유용한 정보를 풍부하게 제공하며 회사는 여러 가지 방법으로 사용자 데이터에 대한 액세스를 활용합니다. 미국의 대부분의 ISP는 사용자 데이터를 법 집행 기관에 넘겨 줄 수 있습니다. 또한 많은 ISP는 소비자 데이터를 사용하여 광고를 타겟팅하고 파일 공유 습관을 분석하며 계층 액세스 서비스 및 속도를 분석합니다.

DPI를 사용하면 머리글과 바닥 글 이외의 패킷을 검사 할 수 있습니다. 그것은 더 깊게 파고 들어갈 수 있고 패킷이 속한 어플리케이션과 패킷 내용과 같은 세밀한 정보를 얻을 수 있습니다.

DPI는 패킷에서 머리글과 바닥 글을 제거하고 페이로드를 검사하여 서명 일치를 수행하여 특정 문자열 및 기타 세부 사항을 찾습니다.

DPI

DPI가 검사를 수행하는 데 사용되는 여러 가지 방법이 있습니다. 사용되는 인기있는 방법에는 포트 기반, 통계적 및 자동화 기반 방식이 있습니다. 포트 기반 프로토콜은 TCP / UDP 헤더의 포트 필드를 검사하여 각 프로토콜에 공통으로 할당 된 포트 번호를 확인합니다. 통계 분석에서, 페이로드가 아닌 트래픽의 분류와 트래픽을 분류하기위한 패킷 길이, 포트 번호와 같은 일반적인 정보 수집에 중점을 둡니다. 자동화 기반 접근 방식은 패턴 매칭을 위해 유한 상태 기계를 사용하는 널리 선호되는 패턴 / 정규 표현 일치 기법입니다. 여기에는 초기 상태, 패턴 매칭을위한 수용 상태 및 부분 일치 경우의 중간 상태가 포함됩니다. 매칭은 페이로드 문자열이 자동화 엔진에 들어갈 때의 초기 상태에서 시작하여 프로세스가 최종 상태에 도달하면 일치가 있음을 의미합니다.

이제 DPI의 개념을 이해 했으므로 DPI의 작동 방식과 DPI 기술의 발전 방식을 이해합시다.

OSI 모델 및 데이터 패킷의 흐름

DPI의 작동 방식과이 기술의 발전 방식을 이해하려면 OSI 프로토콜 스택을 통해 데이터 패킷이 어떻게 전달되는지 이해해야합니다.

OSI 모델에 따라, 네트워크 패킷의 송신자와 수신자 사이의 통신 시스템은 7 개의 계층으로 분할된다 :

  1. 응용 프로그램 계층 - 응용 프로그램 소프트웨어와 상호 작용을 담당합니다.
  2. 프리젠 테이션 레이어 - 제공되는 데이터의 압축, 암호화 및 형식 지정을 담당합니다.
  3. 세션 계층 - 세션의 의사 소통을 생성, 관리 및 종료하는 일을 담당합니다.
  4. 전송 계층 - 데이터 시퀀싱 및 전달에 대한 책임
  5. 네트워크 계층 - 네트워크 패킷의 주소 지정 및 라우팅을 담당합니다.
  6. 데이터 링크 계층 - 패킷 전송 매체에 따라 패킷을 형식화합니다.
  7. 물리 계층 - 전송 된 데이터의 실제 매체 및 특성을 정의하는 책임이 있습니다.
OSI 모델

주소 표시 줄에 URL을 입력하면 데이터는 일반적으로 다음과 같은 방식으로 OSI 프로토콜 스택을 통해 전달됩니다.

  1. 브라우저의 주소 표시 줄에 URL을 입력합니다. 응용 프로그램 계층은 해당 소프트웨어 인 웹 브라우저와 상호 작용합니다. 브라우저는 웹 서버에서 웹 페이지에 액세스하기위한 HTTP 요청을 작성합니다. 요청은 OSI 모델의 다음 레이어 인 프리젠 테이션 레이어를 통과합니다.
  2. 프리젠 테이션 레이어는 표시되는 데이터의 실제 포맷과 관련됩니다. 브라우저가 웹 서버에서 데이터를 받으면 프리젠 테이션 레이어는 JPEG, MPEG, MOV, HTML 등의 적절한 형식으로 표시합니다.이 레이어는 데이터를 암호화하고 압축 할 수도 있습니다.
  3. 다음 계층은 세션 계층입니다. 이 계층은 데이터의 발신자와 수신자 간의 세션 통신을 생성, 관리 및 종료하는 역할을합니다. 세션 레이어, 프리젠 테이션 레이어 및 애플리케이션 레이어는 주로 패킷의 페이로드를 구성하는 역할을 담당합니다.
  4. 전송 계층은 데이터의 순서 지정 및 전달을 처리합니다. 데이터를 패킷으로 분할하고, 패킷을 시퀀싱하고, 패킷의 소스와 목적지 사이에 연결을 설정 한 다음 OSI 모델의 다음 계층을 통해 데이터를 전송합니다. 참고 : 전송 계층은 세션의 관리 및 종료와 관련이 없습니다. 데이터의 송신자와 수신자 간의 연결 만 처리합니다.
  5. 네트워크 계층은 네트워크 패킷의 주소 지정 및 라우팅을 담당합니다. 네트워크 패킷이 네트워크의 한 부분에서 다른 부분으로 이동할 방법을 다룹니다. 그러나 수신 된 패킷에 오류가 없는지 여부는 관계가 없습니다. 전송 계층은이를 처리합니다.
  6. 데이터 링크 계층은 패킷 전송에 사용되는 매체 (예 : 무선 매체, 이더넷 연결 등)에 따라 패킷을 포맷합니다.
  7. 물리 계층은 패킷의 실제 데이터를 변경하지 않습니다. 전송 된 데이터의 실제 매체 및 특성을 정의합니다. 물리 계층, 데이터 링크 계층, 네트워크 계층 및 전송 계층은 주로 네트워크 패킷의 헤더 작성을 담당합니다.

패킷 검사 유형

처음에는 패킷 검사가 기존 방화벽에서 사용되었습니다. 그들은이 기술을 사용하여 네트워크 보안을 위해 패킷을 모니터하고 필터링합니다. 나중에이 기술은 점차 딥 패킷 검사로 발전했습니다. 현재 DPI는 네트워크 보안을 강화하기 위해 최신 차세대 방화벽에 널리 사용되고 있지만 DPI의 사용은 이에 국한되지 않습니다. 콘텐츠 최적화, 네트워크 및 가입자 분석 및 콘텐츠 규제에 널리 사용됩니다.

패킷 검사의 세 가지 유형 :

  • 얕은 패킷 검사
  • 중간 패킷 검사
  • 딥 패킷 검사

얕은 패킷 검사

얕은 패킷 검사 전통적인 방화벽에서 널리 사용됩니다. 주로 OSI 모델의 처음 세 레이어에서 작동합니다. 이 기술은 주로 네트워크 패킷의 헤더를 검사하여 패킷을 전달해야하는지 아니면 삭제해야하는지 결정합니다.

얕은 패킷 검사는 주로 원본 및 대상 IP 주소, 메시지가 분할 된 패킷 수, 패킷을 라우팅 할 때의 총 홉 수 및 패킷을 재구성하기위한 동기화 데이터 등을 관찰하여 패킷이 추가 처리되어야하는지 여부를 결정합니다.

중간 패킷 검사

중간 패킷 검사 응용 프로그램 프록시에서 널리 사용됩니다. 그들은 패킷 헤더를 검사하고 패킷의 페이로드 양을 제한합니다. 그리고이 정보는 시스템 관리자가 쉽게 업데이트 할 수있는 사전로드 된 구문 분석 목록과 일치시킵니다. 구문 분석 목록은 IP 주소 만이 아니라 인터넷의 데이터 형식 및 관련 위치를 기반으로 특정 패킷 유형을 허용합니다.

중간 패킷 검사 기술은 패킷 페이로드의 프리젠 테이션 계층을 조사하여 특정 파일 형식을 감지 할 수있게합니다. 따라서 관리자는 중간 크기의 패킷 검사 장치를 사용하여 클라이언트 컴퓨터가 YouTube의 플래시 파일, 소셜 네트워킹 사이트의 이미지 파일 등을받지 못하게 할 수 있습니다. 중간 패킷 검사는 관련 응용 프로그램 명령 및 데이터의 파일 형식을 기반으로 일부 패킷의 우선 순위를 지정할 수도 있습니다. 패킷과 관련된 응용 프로그램 프로토콜 명령을 식별 한 다음 해당 정보에 따라 허용 또는 거부 할 수 있습니다.

중간 패킷 검사는 얕은 패킷 검사에서 상당한 진보였습니다. 하지만이 기술의 문제점은 확장 성이 좋지 않아 유용성이 크게 제한된다는 것입니다.

중간 패킷 검사 기술은 패킷의 페이로드를 어느 정도까지 볼 수 있습니다. 따라서 중간 패킷 검사 장치는 응용 프로그램 인식을 제한합니다. 그리고 우리는 더 많은 것을 필요로했습니다.

딥 패킷 검사

딥 패킷 검사 기술은 그 목적을 위해 진화했다. 패킷의 페이로드를 조사하여 각 패킷의 출처와 내용을 식별하여 추가 결정을 내릴 수 있습니다.

딥 패킷 검사 장치는 표현식을 사용하여 네트워크 데이터 스트림에서 원하는 패턴을 정의합니다. 패킷의 페이로드에있는 특정 패턴을 기반으로 패킷을 처리 할 수 ​​있습니다.

따라서 DPI 장치는 실시간으로 전달 된 모든 데이터 패킷의 페이로드를 조사 할 수 있습니다. 즉, DPI Device는 특정 IP 주소의 모든 트래픽을 조사하고 모든 HTTP 트래픽을 선택하고 특정 메일 서버를 의미하거나 특정 메일 서버에서 오는 모든 트래픽을 캡처 한 다음 사용자 유형 입력시 해당 이메일을 다시 구성 할 수 있습니다. 아웃.

누가 깊은 패킷 검사에 영향을 미치는지

기업 및 중소기업 이외에도 DPI는 주로 다음과 같은 용도로 사용됩니다.

  • 미디어 회사. 미디어 회사는 통합의 역사가 있습니다. ISP가 미디어 회사를 구매할 때 방송 데이터를 디지털 데이터와 결합하여 TV 및 웹 프로그래밍에서 기업 및 소비자 인터넷 서비스 가격에 이르기까지 모든 것을 결정합니다.
  • 법 집행 기관. ISP가 지적 재산권 침해와 마약 및 인신 매매와 관련된 범죄에 대해 DPI 수집 데이터를 수집하고 공유하는 것은 합법적이며 때로는 필수적입니다.
  • 소비자. 대부분의 소비자는 개인 데이터가 판매용임을 알고 있습니다. 대부분의 소비자는 자신의 ISP가 개인 정보 열람 데이터를 분석, 익명화 및 재판매하고 광고 회사에 재판매하고있을 가능성이 높습니다.

깊은 패킷 검사가 중요한 이유

패킷 스니핑은 구식 전술이지만 연결 장치의 규모가 크기 때문에 DPI는 이전 시대보다 더 적합합니다. DPI는 세 가지 주요 이유와 관련이 있습니다.

  • 연결의 규모. 오늘날의 인터넷, 특히 모바일은 전보다 더 많은 이유로 더 많은 사람들에게 중요합니다. 모든 회사 및 조직은 트래픽을 최적화하고 오버 헤드를 줄이며 사이버 공격을 방지하기 위해 네트워크 검사 기술을 사용합니다. DPI가 유일한 방어선은 아니지만 많은 조직에서 패킷 검색 및 분석이 가장 먼저 방어선입니다.
  • IoT 시장. 이전의 모바일 시장과 마찬가지로 IoT는 급속히 증가하고 있으며 점점 더 많은 장치가 인터넷에 매일 연결되어 DDoS 공격에 대한 반복적 인 공격에 대한 우려가 커지고 있습니다. 현재의 많은 IoT 장치에는 장치가 좀비 봇넷으로 빠져드는 것을 방지 할 수있는 표준 펌웨어 및 보안 표준이 부족한 경우가 많습니다. DPI는 ISP 및 네트워크를 IoT DDoS 공격으로부터 보호하고 보안 분석가가 중요한 IoT 보안 결함에 대해 더 많은 것을 알도록 도울 것입니다.
  • 개인 정보 보호 문제. DPI는 미디어 회사와 ISP가 상상도 할 수없는 방식으로 고객에 대해 알 수 있도록 지원합니다. 로드하는 모든 페이지와 보내는 모든 커뮤니케이션은 필터링되어 ISP를 통해 라우팅됩니다. 더 이상 "멍청한 파이프"는 아니며 인터넷 서비스 제공 업체는 미디어 회사 (Comcast NBC / Universal 및 AT & T Time Warner 합병은 두 가지 예가 될 수 있음)와 수직적으로 통합되며 광고를 통해 소비자를 타겟팅하고 정보 수집을 통해 법 집행 기관을 지원합니다. ISP는 DPI를 사용하여 인터넷에서의 소비자 행동을 분석하고 개인 브라우징 데이터를 마케팅 및 광고 회사에 판매합니다. 이 관행은 소비자의 프라이버시에 대한 우려를 제기합니다. 또한 보안 기관에 사용자 활동의 무단 감시를 제공하는 데 사용할 수 있으며 정부는 사용자가 일정에 위배되는 특정 콘텐츠에 액세스하지 못하도록 제한 할 수 있습니다.

딥 패킷 검사의 응용

딥 패킷 검사 기술에는 여러 가지 응용 프로그램이 있습니다. 주요 응용 분야 :

네트워크 보안

차세대 방화벽은 포트 기반 대신 응용 프로그램별로 트래픽을 모니터링하고 필터링하여 네트워크 문제를보다 효과적으로 해결할 수 있습니다.

안티 맬웨어

딥 패킷 검사 장치는 트로이 목마, 바이러스, 스파이웨어, 애드웨어 및 기타 악성 응용 프로그램을 포함하여 광범위한 맬웨어를 탐지하고 필터링 할 수 있습니다. 그것은 주로 두 가지 접근법을 취함으로써 그렇게 할 수 있습니다 :

  • URL 감지 - 딥 패킷 검사 장치는 들어오는 URL과 내장 된 URL을 알려진 악성 웹 사이트의 데이터베이스와 비교할 수 있습니다.
  • 객체 감지 - 딥 패킷 검사 장치는 트래픽을 조사하여 잠재적으로 유해한 실행 파일과 개체를 검색 한 다음이를 분석하여 멀웨어를 탐지합니다.
  • 서명 탐지 - 딥 패킷 검사 장치는 알려진 맬웨어의 서명이 있는지 검색하기 위해 데이터 패킷의 페이로드를 조사 할 수 있습니다. 서명 일치는 알려진 맬웨어 서명 데이터베이스를 사용하여 수행되며 대개 보안 서비스 공급자의 도움을 받아 서명 데이터베이스를 업데이트합니다.

URL 필터링

DPI 장치는 트래픽을 조사하여 요청한 URL을 검색하고 잠재적으로 유해하거나 부적절한 URL을 차단할 수 있습니다.

프로토콜 및 응용 프로그램 인식

DPI는 IMAP, POP3 및 SMTP를 포함한 전자 메일 서비스를 구별하기 위해 트래픽을 조사 할 수 있습니다. HTTP, FTP, TCP 등과 같은 프로토콜을 식별 할 수 있습니다. 또한 데이터 트래픽의 페이로드를 조사하여 Flash, YouTube, Windows Media 등 특정 파일 유형의 존재 여부를 확인할 수 있습니다. 다양한 터널링, 세션, 피어 - 투 - 피어, 메시징 및 VoIP 프로토콜을 지원하므로 추가 처리를 위해 데이터를 라우팅 할 수 있습니다.

네트워크 관리

DPI를 사용하여 최종 사용자의 QoS (Quality of Service)를 유지 관리 할 수 ​​있습니다. 이 기능을 사용하여 서로 다른 유형의 트래픽을 구별하고 기본 QoS를 유지하기 위해 해당 트래픽 유형에 우선 순위를 매기거나 조절할 수 있습니다.

교통 요금 청구 및 측량

DPI는 인터넷 서비스 공급자가 사용, 데이터 제한, 대역폭 등과 같은 다양한 수준의 액세스를 가입자에게 제공하는 데 사용될 수 있습니다. 또한 트래픽의 특정 규정 준수, 트래픽 우선 순위 지정 및로드 균형 조정 용도로 사용될 수 있습니다.

가입자 분석

때때로 DPI는 인터넷 서비스 공급자가 가입자의 통계 정보를 수집하는 데 사용됩니다. 예를 들어, ISP는 가입자의 웹 브라우징 습관에 대한 정보를 수집하고 나중에이를 사용하여 마케팅 수익을 향상시킬 수 있습니다.

응용 프로그램 배포 및로드 균형 조정

DPI를 사용하여 패킷 내용을 조사한 다음로드 균형 조정과 내결함성을 위해 다른 대상으로 리디렉션 할 수 있습니다.

콘텐츠 규정

DPI를 사용하여 트래픽을 검사하고 잠재적으로 유해하거나 불법 인 내용을 차단할 수 있습니다.

저작권 시행

DPI를 사용하여 패킷 내용을 조사하고 음악 또는 비디오 파일을 비롯한 저작권이있는 콘텐츠의 무단 공유를 자동으로 검색하고 차단할 수 있습니다.

결론

DPI는 네트워크 보안에서 개인 정보 보호에 대한 잠재적 위협에 이르는 다양한 목적을 충족시킵니다. 하지만 기다려! 암호화는 어떻습니까? 우리는 모든 인터넷 트래픽을 암호화하기 위해 엄청난 노력을하고 있습니다. 따라서 DPI를 방해하지 않을까요? 새로운 버전의 웹 프로토콜 인 HTTP / 2는 작동하기 위해 암호화 된 통신이 필요합니다.

HTTPS는 연결을 암호화하지만 브라우저는 기본적으로 UDP를 통해 전송되는 DNS 요청을 만들어야하므로 HTTPS없이 암호화되지 않은 링크 또는 암호화되지 않은 쿠키가 잘못 전송되는 것처럼 데이터가 수집됩니다. 수집되는 이러한 추가 비트는보고있는 컨텐츠의 유형을 알려주고 있습니다. 이것이 귀하의 DNS를 암호화해야하는 이유입니다.

DPI에서 안전합니까? 짧은 대답은 아닙니다. DPI를 빨리 제거 할 수는 없지만 DPI의 중간자 역할을하는 SSLBump라는 기술을 사용할 수 있습니다. 예를 들어, 귀하의 직장은 스스로를 스푸핑합니다. 암호화 당신이 가고있는 사이트. 컴퓨터를 제어하기 때문에 상황이 발생하고 있는지조차 알지 못합니다. 그리고 그들은 해독 인터넷 트래픽으로 DPI를 사용하고 다시 인터넷에 다시 암호화합니다.

본질적으로 이러한 도구는 네트워크에서 불량 사항을 탐지하기 위해 개발되었습니다. DPI / SSLBump와 비교할 때 네트워크에서 나쁜 정보를 탐지하는 더 나은 방법론이 있습니다. 이는 개인 정보 보호 측면에서 더 좋습니다. 기업들은 DPI를 기꺼이 포기하지 않을 것입니다.

이 기사는에서있다 개인 기계 승인 후 출판 됨. 그것은 나타내지 않는다. Gigalight 커뮤니티의 입장. 재현하기 전에 원저자에게 문의하십시오.

문의하기

이메일 : sunwf@gigalight.com