1. Gigalight ComunidadeHome
  2. Blogs
  3. tutoriais

Um guia para inspeção profunda de pacotes

A inspeção profunda de pacotes (DPI) é usada para uma análise profunda dos pacotes enviados pela Internet. Cada pacote de informações digitais, incluindo o e-mail enviado, as chamadas VoIP feitas e os sites que você carrega, é transmitido pela Web em uma parte formatada de dados estruturados, conhecida como "pacote". Dentro desse pacote, há metadados estruturados que garantem os dados são roteados para o destino correto.

A análise desses pacotes é um processo conhecido como inspeção profunda de pacotes (DPI), e a prática é utilizada diariamente por empresas, provedores de serviços de Internet (ISPs) e empresas de mídia.

O que é a inspeção profunda de pacotes?

O tráfego da Internet é composto de pequenos pacotes de dados conhecidos como pacotes. Os pacotes envolvem informações digitais em um pacote de metadados que identifica a origem do tráfego, o destino, o conteúdo e outros detalhes valiosos. Analisar o tráfego digital é muito parecido com a análise do tráfego de automóveis: os padrões revelam insights úteis. Ao estudar metadados como cabeçalhos usando os especialistas em rede do Deep Packet Inspection (DPI), é possível aprender como otimizar os servidores para reduzir a sobrecarga, detectar e deter hackers, combater malware, outras informações estatísticas e obter detalhes íntimos sobre o comportamento do usuário. .

Como mencionamos anteriormente, o DPI é usado principalmente por ISPs, empresas de mídia e empresas. Vamos usar a analogia, se os pacotes são e-mail, os ISPs são o serviço postal e têm acesso a tráfego da Web não criptografado, bem como metadados de pacotes, como cabeçalhos. Por exemplo, os ISPs costumam usar DPI para determinar o uso de dados, limites de dados, otimização de largura de banda, conformidade com regulamentos, priorização de tráfego, balanceamento de carga ou coleta de dados estatísticos de seus assinantes. Isso fornece aos provedores uma abundância de informações úteis, e as empresas aproveitam o acesso aos dados do usuário de várias maneiras. A maioria dos ISPs nos Estados Unidos tem permissão para entregar os dados dos usuários às agências de aplicação da lei. Além disso, muitos ISPs usam dados do consumidor para direcionar publicidade, analisar os hábitos de compartilhamento de arquivos e velocidades e serviços de acesso de camada.

O DPI nos permite inspecionar os pacotes além do cabeçalho e do rodapé. Ele pode se aprofundar e obter informações granulares, como o aplicativo ao qual o pacote pertence e o conteúdo do pacote.

O DPI retira o cabeçalho e o rodapé do pacote e inspeciona a carga para realizar a correspondência de assinatura, procurando por uma string específica e outros detalhes.

DPI

Existem vários métodos usados ​​pelo DPI para realizar a inspeção. Alguns dos métodos populares usados ​​incluem abordagens baseadas em porta, estatísticas e baseadas em automação. Baseado em porta é a abordagem de identificação de protocolo padrão que inspeciona os campos de porta nos cabeçalhos TCP / UDP para os números de porta comumente designados ao respectivo protocolo. Na análise estatística, o foco está na classificação do tráfego em vez de na carga útil e na coleta de informações genéricas, como tamanho do pacote, números de porta para classificar o tráfego. A abordagem baseada em automação é a técnica de correspondência de expressão regular / padrão amplamente preferida que usa uma máquina de estados finitos para a correspondência de padrões. Inclui o seguinte estado: estado inicial, estado de aceitação para corresponder aos padrões e estados intermediários para casos de correspondência parciais. A correspondência começa com o estado inicial quando uma sequência de carga útil entra no mecanismo de automação e, se o processo atingir o estado final, significa que a correspondência está localizada.

Agora que você entende a ideia do DPI, vamos entender como o DPI funciona e como a tecnologia DPI evoluiu.

Modelo OSI e Fluxo de Pacotes de Dados

Para entender como o DPI funciona e como essa tecnologia evoluiu, precisamos entender como um pacote de dados flui através da pilha do protocolo OSI.

De acordo com o modelo OSI, o sistema de comunicação entre o emissor e o receptor de um pacote de rede é particionado em sete camadas:

  1. A camada de aplicação - Responsável por interagir com o software aplicativo.
  2. A camada de apresentação - Responsável pela compressão, criptografia e formatação dos dados apresentados.
  3. A camada de sessão - Responsável por criar, gerenciar e encerrar a comunicação de uma sessão.
  4. A camada de transporte - Responsável pelo sequenciamento e entrega de dados
  5. A camada de rede - Responsável pelo endereçamento e roteamento dos pacotes de rede.
  6. A camada de link de dados - Responsável pela formatação do pacote conforme o meio de transmissão de pacotes.
  7. A camada física - Responsável pela definição da mídia atual e características dos dados transmitidos.
Modelo OSI

Quando digitamos um URL na barra de endereço, os dados geralmente passam pela pilha do protocolo OSI da seguinte maneira:

  1. Nós digitamos o URL na barra de endereços do navegador. A camada de aplicação interage com o software correspondente, o navegador da web. O navegador faz uma solicitação HTTP para acessar a página da web a partir do servidor da web. A solicitação é passada pela próxima camada do modelo OSI - a camada de apresentação.
  2. A camada de apresentação está relacionada com o formato atual dos dados apresentados. Quando o navegador recebe os dados do servidor da Web, a camada de apresentação apresenta-o em um formato adequado, como JPEG, MPEG, MOV, HTML, etc. Essa camada também pode criptografar e compactar os dados.
  3. A próxima camada é a camada de sessão. Essa camada é responsável por criar, gerenciar e encerrar a comunicação da sessão entre o remetente e o destinatário dos dados. A camada de sessão, a camada de apresentação e a camada de aplicativo são principalmente responsáveis ​​pela composição da carga útil de um pacote.
  4. A camada de transporte lida com o sequenciamento e entrega dos dados. Ele segmenta os dados em pacotes, sequencia os pacotes, estabelece uma conexão entre a origem e o destino dos pacotes e os envia através da próxima camada do modelo OSI. Observação: a camada de transporte não está preocupada com o gerenciamento e o término das sessões. Só processa a conexão entre o remetente e o receptor dos dados.
  5. A camada de rede é responsável pelo endereçamento e roteamento dos pacotes de rede. Ele lida com como os pacotes de rede viajam de uma parte da rede para outra. No entanto, não se preocupa se os pacotes recebidos estão livres de erros. A camada de transporte cuida disso.
  6. A camada de enlace de dados formata os pacotes de acordo com o meio usado para transmitir os pacotes - por exemplo, meio sem fio, conexão ethernet, etc.
  7. A camada física não altera os dados reais dos pacotes. Define a mídia e as características reais dos dados transmitidos. A camada física, a camada de enlace de dados, a camada de rede e a camada de transporte são os principais responsáveis ​​pela composição dos cabeçalhos dos pacotes de rede.

Tipos de inspeções de pacotes

Inicialmente, a inspeção de pacotes foi usada em firewalls tradicionais. Eles usariam essa tecnologia para monitorar e filtrar pacotes para segurança da rede. Mais tarde, essa tecnologia evoluiu gradualmente para a inspeção profunda de pacotes. Agora, o DPI é amplamente usado em firewalls modernos de próxima geração para aprimorar a segurança da rede, embora o uso de DPI não seja de todo limitado a isso. É amplamente utilizado para otimização de conteúdo, análise de redes e assinantes e regulação de conteúdo.

Os três tipos de inspeção de pacotes:

  • Inspeção de pacotes rasos
  • Inspeção Média de Pacotes
  • Inspeção Profunda de Pacotes

Inspeção de pacotes rasos

Inspeção de pacotes rasos é amplamente utilizado em firewalls tradicionais. Ele funciona principalmente nas três primeiras camadas do modelo OSI. Essa tecnologia examina principalmente os cabeçalhos dos pacotes de rede para decidir se o pacote deve ser aprovado ou se deve ser descartado.

A inspeção superficial de pacotes observa principalmente os endereços IP de origem e destino, o número de pacotes em que a mensagem é dividida, o número total de saltos no roteamento do pacote e dados de sincronização para remontar os pacotes etc. para decidir se o pacote deve ser processado posteriormente.

Inspeção Média de Pacotes

Inspeção Média de Pacotes é amplamente utilizado em proxies de aplicativos. Eles examinam os cabeçalhos dos pacotes e limitam a quantidade de carga do pacote. E essa informação é então comparada com uma lista de análise pré-carregada, que pode ser facilmente atualizada pelos administradores do sistema. Uma lista de análise permite tipos de pacote específicos com base nos tipos de formato de dados e localização associada na Internet, em vez de apenas nos seus endereços IP.

A tecnologia de inspeção de pacote médio pode examinar a camada de apresentação da carga do pacote, o que permite detectar determinados formatos de arquivo. Usando dispositivos de inspeção de pacotes médios, os administradores podem impedir que os computadores clientes recebam arquivos flash do YouTube, arquivos de imagem de sites de redes sociais, etc. A inspeção de pacote médio pode priorizar alguns pacotes com base nos comandos de aplicativo associados e formatos de arquivo dos dados. Ele pode cavar no pacote para identificar os comandos do protocolo de aplicativo associados a ele e, em seguida, permitir ou negar isso de acordo com essas informações.

A inspeção de pacotes médios foi um grande avanço na inspeção superficial de pacotes. Mas, o problema com essa tecnologia é que ela é pouco escalável, o que limita sua utilidade em grande medida.

A tecnologia de inspeção de pacote médio pode examinar a carga útil dos pacotes somente até certo ponto. Portanto, os dispositivos de inspeção de pacote médio têm um conhecimento de aplicação limitado. E precisávamos de algo mais.

Inspeção Profunda de Pacotes

Inspeção Profunda de Pacotes a tecnologia evoluiu para esse propósito. Ele examina a carga útil dos pacotes e pode identificar a origem e o conteúdo de cada pacote para tomar outras decisões.

Os dispositivos de inspeção profunda de pacotes usam expressões para definir padrões de interesse em fluxos de dados de rede. Ele pode manipular os pacotes com base em padrões específicos presentes na carga útil dos pacotes.

Assim, um dispositivo DPI pode examinar a carga útil de todos os pacotes de dados transmitidos em tempo real. Isso significa que um dispositivo DPI pode procurar dentro de todo o tráfego de um endereço IP específico, selecionar todo o tráfego HTTP, capturar todo o tráfego destinado a um servidor de email específico e remontá-los quando um usuário digita Fora.

Quem profunda inspeção de pacotes afeta

Além das empresas e empresas de pequenas e médias empresas, o DPI é usado principalmente por:

  • Empresas de mídia. Empresas de mídia têm um histórico de consolidação. Quando os ISPs compram empresas de mídia, eles combinam dados de transmissão com dados digitais para determinar tudo, desde programação de televisão e web até preços de serviços de Internet corporativos e de consumidores.
  • Agências de aplicação da lei. É legal e às vezes necessário que os provedores de acesso coletem e compartilhem dados coletados por DPI para crimes envolvendo violação de propriedade intelectual e tráfico de drogas e de pessoas.
  • Consumidores A maioria dos consumidores sabe que, amá-lo ou amontoá-lo, os dados pessoais estão à venda. A maioria dos consumidores provavelmente não sabe que seu ISP provavelmente está analisando, anonimizando e revendendo dados pessoais de navegação para empresas de publicidade.

Por que questões profundas de inspeção de pacotes

Embora o sniffing de pacotes seja uma tática arcaica, devido à grande escala de dispositivos conectados, o DPI é mais relevante hoje do que em épocas anteriores. O DPI é relevante por três razões principais:

  • A escala de conectividade. A Internet hoje, particularmente móvel, é mais importante agora para mais pessoas por mais razões do que nunca. Toda empresa e organização depende da tecnologia de inspeção de rede para otimizar o tráfego, reduzir a sobrecarga e afastar os ataques cibernéticos. O DPI não é a única linha de defesa, mas para muitas organizações, a digitalização e análise de pacotes é a primeira linha de defesa.
  • Mercado de IoT. Como o mercado de telefonia móvel antes dele, a IoT está crescendo, mais e mais dispositivos estão se conectando à Internet todos os dias, o que aumenta a preocupação com a exploração repetida deles para ataques DDOS. Muitos dispositivos IoT contemporâneos geralmente não possuem padrões de firmware e segurança padrão que poderiam proteger os dispositivos de serem ligados a um botnet zumbi. O DPI protegerá ISPs e redes contra ataques DDoS da IoT e ajudará os analistas de segurança a aprender mais sobre as falhas críticas de segurança da IoT.
  • Preocupações com a privacidade. O DPI ajuda as empresas de mídia e os ISPs a aprender sobre as maneiras inimagináveis ​​dos clientes. Cada página carregada e cada comunicação enviada é filtrada e roteada por um provedor. Os prestadores de serviços de Internet não estão mais se integrando verticalmente às empresas de mídia (as fusões Comcast NBC / Universal e AT & T da Time Warner são dois exemplos) e alavancando seus dados para direcionar consumidores com publicidade e auxiliar agências de segurança com coleta de informações. Os ISPs utilizam o DPI para analisar o comportamento do consumidor na Internet e vender seus dados pessoais de navegação para empresas de marketing e publicidade. Essa prática gera preocupação em relação à privacidade do consumidor. Ele também pode ser usado para fornecer às agências de segurança vigilância não autorizada da atividade de um usuário, e os governos podem restringir os usuários de acessar determinados conteúdos que são contra sua agenda.

Aplicações de inspeção profunda de pacotes

A tecnologia Deep Packet Inspection possui diversas aplicações. Algumas das principais aplicações incluem:

Rede de Segurança

Ele é amplamente usado para firewalls de próxima geração para monitorar e filtrar o tráfego por aplicativo, em vez de base de porta, o que permite solucionar problemas de rede de uma maneira melhor.

Anti-malware

Um dispositivo Deep Packet Inspection pode detectar e filtrar uma ampla variedade de malware, incluindo trojans, vírus, spyware, adware e outros aplicativos mal-intencionados. Pode fazer isso principalmente tomando algumas abordagens:

  • Detecção de URL - Os dispositivos de inspeção profunda de pacotes podem comparar as URLs recebidas e incorporadas com um banco de dados dos sites maliciosos conhecidos.
  • Detecção de Objetos - Os dispositivos de inspeção profunda de pacotes podem examinar o tráfego para procurar por executáveis ​​e objetos potencialmente perigosos e, em seguida, analisá-los para detectar malware.
  • Detecção de assinatura - Os dispositivos de inspeção profunda de pacotes podem examinar a carga útil dos pacotes de dados para procurar pela presença de assinaturas de malware conhecido. A correspondência de assinatura é feita usando um banco de dados de assinaturas conhecidas de malware e geralmente é necessária a ajuda de provedores de serviços de segurança para atualizar o banco de dados de assinaturas.

Filtragem de URLs

Os dispositivos DPI podem pesquisar o tráfego para pesquisar URLs solicitados e bloquear URLs potencialmente prejudiciais ou inadequados.

Protocolos e reconhecimento de aplicativos

O DPI pode examinar o tráfego para distinguir entre serviços de email, incluindo IMAP, POP3 e SMTP. Ele pode identificar protocolos como HTTP, FTP, TCP etc. Ele também pode examinar a carga útil do tráfego de dados para ver a presença de certos tipos de arquivo como Flash, YouTube, Windows Media etc. Ele pode identificar uma grande variedade de encapsulamentos, sessões, peer-to-peer, mensagens e protocolos VoIP para que possa encaminhar os dados para processamento adicional.

Gerenciamento de Rede

O DPI pode ser usado para manter o QoS (Quality of Service) para os usuários finais. Ele pode ser usado para diferenciar entre diferentes tipos de tráfego e para priorizar ou reduzir os diferentes tipos de tráfego para manter a QoS básica.

Faturamento e Medição de Tráfego

O DPI pode ser usado pelos provedores de serviços da Internet para oferecer aos assinantes diferentes níveis de acesso, como uso, limites de dados, largura de banda etc. Também pode ser usado para fins de conformidade de certos regulamentos de tráfego, priorização de tráfego e balanceamento de carga.

Análise de Assinantes

Às vezes, o DPI é usado pelos provedores de serviços de Internet para coletar informações estatísticas de seus assinantes. Por exemplo, os ISPs podem coletar informações sobre os hábitos de navegação na Web de seus assinantes e, posteriormente, usar isso para aumentar as receitas de marketing.

Distribuição de aplicativos e balanceamento de carga

O DPI pode ser usado para examinar o conteúdo do pacote e, em seguida, redirecioná-lo para destinos diferentes para fins de balanceamento de carga e tolerância a falhas.

Regulamento de Conteúdo

O DPI pode ser usado para examinar o tráfego e bloquear conteúdo potencialmente perigoso ou ilegal.

Aplicação de direitos autorais

O DPI pode ser usado para examinar o conteúdo do pacote e detectar e bloquear automaticamente o compartilhamento não autorizado de conteúdo protegido por direitos autorais, incluindo arquivos de música ou vídeo.

Conclusão

O DPI atende a muitos propósitos, desde a segurança da rede até potencialmente ser uma ameaça real à privacidade. Mas espere! E quanto à criptografia? Estamos vendo um grande esforço para criptografar todo o tráfego da Internet, então isso não prejudicará o DPI? A nova versão do protocolo da Web, HTTP / 2, requer comunicações criptografadas para funcionar.

O HTTPS criptografa as conexões, mas seu navegador precisa fazer solicitações de DNS que são enviadas principalmente por meio do UDP, para que os dados sejam coletados, assim como os links não criptografados ou os cookies não criptografados enviados incorretamente sem HTTPS. Esses bits adicionais que serão coletados podem ser muito reveladores sobre o tipo de conteúdo que você está vendo. É por isso que você deve criptografar seu DNS.

Então, estamos a salvo do DPI? A resposta curta é não, essas empresas não são tão rápidas em se livrar do DPI, mas podem usar uma tecnologia chamada SSLBump, que funcionaria como um intermediário para o DPI. Por exemplo, o seu local de trabalho se auto-falsifica como criptografado site que você está indo. Porque eles controlam seu computador, você nem sabe que isso está acontecendo. Depois eles descriptografar o tráfego da Internet para usar o DPI nele e criptografá-lo novamente na Internet.

Inerentemente, essas ferramentas foram desenvolvidas para detectar coisas ruins em uma rede. Existem metodologias melhores para detectar coisas ruins em uma rede em comparação com o DPI / SSLBump, que também são melhores em termos de privacidade. Embora as empresas não pareçam dispostas a desistir do DPI.

Este artigo é de ThePrivacyMachine e publicado após autorização. Não representa Gigalight Posição da Comunidade. Antes de reproduzido, entre em contato com o autor original.

Contato

Email: sunwf@gigalight.com