1. Gigalight ЗаједницаПочетна
  2. блогови
  3. Туториалс

Водич за дубинску инспекцију пакета

Дееп Пацкет Инспецтион (ДПИ) се користи за дубинску анализу пакета послатих преко Интернета. Сваки пакет дигиталних информација - укључујући е-пошту коју шаљете, ВоИП позиве и веб-локације које учитавате - преноси се преко веб-а у форматираном делу структурираних података познатих као "пакет". Унутар овог пакета су структурирани метаподаци који осигуравају подаци се преусмеравају на одговарајуће одредиште.

Анализа ових пакета је процес познат као дубинска инспекција пакета (ДПИ), а пракса се свакодневно примењује од предузећа предузећа, пружалаца Интернет услуга (ИСП) и медијских компанија.

Шта је Дееп Пацкет Инспецтион?

Интернетски саобраћај се састоји од малих пакета података познатих као пакети. Пакети умотавају дигиталне информације у сноп метаподатака који идентификују извор саобраћаја, дестинацију, садржај и друге делове вредних детаља. Анализа дигиталног саобраћаја је веома слична анализи аутомобилског саобраћаја: обрасци откривају корисне увиде. Проучавањем метаподатака као што су заглавља користећи Дееп Пацкет Инспецтион (ДПИ) стручњаци за мрежу могу научити како најбоље оптимизирати послужитеље како би смањили оптерећење, открили и одвратили хакере, борили се против злонамјерних програма, других статистичких података и прикупили интимне детаље о понашању корисника .

Као што смо већ споменули, ДПИ се углавном користе од стране ИСП-а, медијских компанија и предузећа. Хајде да употребимо аналогију, ако су пакети поште, ИСП-ови су поштанска услуга и имају приступ нешифрованом веб саобраћају као и метаподатке пакета као што су заглавља. На пример, ИСП-ови често користе ДПИ за одређивање употребе података, ограничења података, пригушивања пропусног опсега, усклађености прописа, приоритизације саобраћаја, балансирања оптерећења или прикупљања статистичких података од својих претплатника. Ово пружа ИСП-овима мноштво корисних информација, а компаније користе приступ корисничким подацима на више начина. Већини ИСП-ова у Сједињеним Државама је дозвољено да претворе корисничке податке у агенције за спровођење закона. Поред тога, многи ИСП-ови користе податке потрошача за циљање оглашавања, анализу навика дијељења датотека и услуге и брзине приступа.

ДПИ нам омогућава да прегледамо пакете изван заглавља и подножја. Може копати дубље и добити неке грануларне информације као што је апликација којој пакет припада и садржај пакета.

ДПИ скида заглавље и подножје из пакета и проверава да ли је корисно оптерећење да би се повезао потпис, тражећи специфичан низ и друге детаље.

ДПИ

Постоји неколико метода које ДПИ користи за обављање инспекције. Неки од популарних метода укључују приступе, статистичке и аутоматизоване приступе. Порт-басед је стандардни приступ идентификације протокола који прегледава поља порта у ТЦП / УДП заглављима за обично додијељене бројеве портова за одговарајући протокол. У статистичкој анализи, фокус је на класификацији саобраћаја, а не на оптерећењу и прикупљању генеричких информација као што је дужина пакета, бројеви портова за класификацију саобраћаја. Приступ заснован на аутоматизацији је широко пожељна техника подударања узорака / регуларних израза која користи коначни аутомат за одређивање узорка. То укључује сљедеће стање: почетно стање, стање прихваћања за усклађивање узорака и средња стања за случајеве парцијалног подударања. Усклађивање почиње са почетним стањем када низ оптерећења улази у механизам аутоматизације, а ако процес достигне крајње стање, то значи да је пронађено подударање.

Сада када схватите идеју ДПИ, хајде да разумемо како ДПИ функционише и како се развила ДПИ технологија.

ОСИ модел и проток пакета података

Да бисмо разумели како ДПИ функционише и како је ова технологија еволуирала, морамо разумети како се пакет података креће кроз ОСИ протоколе.

По ОСИ моделу, комуникациони систем између пошиљаоца и примаоца мрежног пакета је подељен на седам слојева:

  1. Слој апликације - Одговоран за интеракцију са апликативним софтвером.
  2. Слој презентације - Одговоран за компресију, енкрипцију и форматирање података који се приказују.
  3. Слој сесије - Одговоран за креирање, управљање и завршавање комуникације сесије.
  4. Транспортни слој - Одговоран за секвенцирање и достављање података
  5. Мрежни слој - Одговоран за адресирање и усмјеравање мрежних пакета.
  6. Слој везе података - Одговоран за форматирање пакета према медију преноса пакета.
  7. Физички слој - Одговоран за дефинисање актуелних медија и карактеристика пренесених података.
ОСИ модел

Када укуцамо УРЛ у адресну траку, подаци се обично крећу кроз стог ОСИ протокола на следећи начин:

  1. Укуцамо УРЛ у адресну траку претраживача. Апликациони слој је у интеракцији са одговарајућим софтвером, веб претраживачем. Претраживач прави ХТТП захтев за приступање веб страници са веб сервера. Захтев се прослеђује кроз следећи слој ОСИ модела - слој презентације.
  2. Слој презентације се бави стварним форматом података који се презентују. Када претраживач прими податке са веб сервера, слој презентације представља га у одговарајућем формату као што су ЈПЕГ, МПЕГ, МОВ, ХТМЛ итд. Овај слој такође може да шифрује и компримује податке.
  3. Следећи слој је слој сесије. Овај слој је одговоран за креирање, управљање и завршавање комуникације сесије између пошиљаоца и примаоца података. Сејни слој, слој презентације и апликациони слој су углавном одговорни за састављање корисног садржаја пакета.
  4. Транспортни слој се бави секвенцирањем и достављањем података. Сегментира податке у пакете, секвенцира пакете, успоставља везу између извора и одредишта пакета и затим их шаље преко следећег слоја ОСИ модела. Белешка: транспортни слој се не бави управљањем и завршавањем сесија. Он само обрађује везу између пошиљаоца и примаоца података.
  5. Мрежни слој је одговоран за адресирање и усмјеравање мрежних пакета. Он се бави начином на који ће мрежни пакети путовати из једног дела мреже у други. Међутим, не бави се да ли су примљени пакети без грешака. Транспортни слој се брине о томе.
  6. Слој за пренос података форматира пакете по медијуму који се користи за пренос пакета - нпр. Бежични медиј, етхернет веза итд.
  7. Физички слој не мења стварне податке пакета. Он дефинише стварне медије и карактеристике пренесених података. Физички слој, слој везе података, мрежни слој и транспортни слој су углавном одговорни за састављање заглавља мрежних пакета.

Врсте прегледа пакета

У почетку, преглед пакета је коришћен у традиционалним заштитним зидовима. Они би користили ову технологију за праћење и филтрирање пакета за безбедност мреже. Касније је ова технологија постепено еволуирала у Дееп Пацкет Инспецтион. Сада, ДПИ се широко користи у модерним заштитним зидовима следеће генерације за побољшање безбедности мреже, иако коришћење ДПИ уопште није ограничено на то. Широко се користи за оптимизацију садржаја, анализу мреже и претплатника и регулацију садржаја.

Три типа прегледа пакета:

  • Плитка инспекција пакета
  • Медиум Пацкет Инспецтион
  • Дееп Пацкет Инспекција

Плитка инспекција пакета

Плитка инспекција пакета широко се користи у традиционалним заштитним зидовима. Ради углавном у прва три слоја ОСИ модела. Ова технологија углавном испитује заглавља мрежних пакета како би одлучила да ли би пакет требао бити прослијеђен или би требао бити испуштен.

Плитка инспекција пакета углавном посматра ИП адресе извора и одредишта, број пакета на које је порука разбијена, укупан број скокова у усмеравању пакета и синхронизационе податке за поновно састављање пакета итд. Да би се одлучило да ли ће пакет бити даље обрађен.

Медиум Пацкет Инспецтион

Медиум Пацкет Инспецтион широко се користи у проки апликацијама. Они испитују заглавља пакета и ограничавају количину садржаја пакета. Те информације се онда упоређују са унапред учитаним пописом за анализу, који се може лако ажурирати од стране администратора система. Листа за анализу омогућава одређене типове пакета на основу типова формата података и придружене локације на Интернету, а не само њихових ИП адреса.

Технологија за проверу средњег пакета може да погледа у слој презентације пакета, што му омогућава да открије одређене формате датотека. Користећи уређаје за контролу средњег пакета, администратори могу на тај начин спречити клијентске рачунаре да примају фласх фајлове са ИоуТубе-а, сликовне датотеке са друштвених мрежа итд. Медијска инспекција пакета може чак и дати приоритет неким пакетима на основу придружених командних апликација и формата датотека података. Може копати у пакет да би идентификовао команде протокола апликације које су повезане са њим, а затим је дозволити или одбити према тој информацији.

Провјера средњег пакета била је прилично напредак од плитког прегледа пакета. Али, проблем са овом технологијом је што је он слабо скалабилан, што ограничава његову корисност у великој мери.

Технологија за проверу средњег пакета може у одређеној мери да погледа у садржај пакета. Тако, уређаји за средњу контролу пакета имају само ограничену свијест о апликацијама. И требало нам је још нешто.

Дееп Пацкет Инспекција

Дееп Пацкет Инспекција технологије развијене у ту сврху. Она разматра садржај пакета и може идентификовати порекло и садржај сваког пакета да би донела даље одлуке.

Уређаји за дубинско испитивање пакета користе изразе да дефинишу обрасце интереса у мрежним токовима података. Може да управља пакетима на основу специфичних образаца присутних у корисном садржају пакета.

Дакле, ДПИ уређај може прегледати садржај свих пакета података који су прошли кроз њега у реалном времену. То би значило да ДПИ уређај може прегледати сав саобраћај са одређене ИП адресе, изабрати сав ХТТП промет, ухватити сав саобраћај који је намијењен или који долази од одређеног маил сервера и поново саставити те е-поруке када корисник упише оут.

На кога утиче дубока инспекција пакета

Поред предузећа и малих и средњих предузећа, ДПИ се примарно користи:

  • Медијске компаније. Медијске компаније имају историју консолидације. Када ИСП-ови купују медијске компаније, они комбинују емитоване податке са дигиталним подацима да би одредили све, од телевизијског и веб програма до корпоративних и потрошачких цена интернет услуга.
  • Агенције за провођење закона. Правно је и понекад је потребно да ИСП-ови прикупљају и дијеле податке прикупљене од ДПИ за злочине који укључују повреду интелектуалне својине и трговину дрогом и људима.
  • Потрошачи. Већина потрошача је свесна да је, воли или ставља у лапсус, лични подаци се продају. Вецина потрошаца вероватно није свесна да њихов ИСП вероватно анализира, анонимизује и препродава лицне податке о прегледавању огласним компанијама.

Зашто је важна дубинска инспекција пакета

Иако је снифовање пакета архаична тактика, због обима повезаних уређаја ДПИ је данас релевантнији него у претходним епохама. ДПИ је релевантан из три основна разлога:

  • Скала повезаности. Данас је интернет, посебно мобилан, важнији сада већем броју људи из више разлога него икада раније. Свака компанија и организација се ослањају на технологију мрежне инспекције да би оптимизовали саобраћај, смањили оптерећење и одбранили кибернетичке нападе. ДПИ није једина линија одбране, али за многе организације, скенирање и анализирање пакета је прва линија одбране.
  • ИоТ тржиште. Као и мобилно тржиште прије њега, интернет ствари цвјета, све више и више уређаја се повезује на Интернет сваки дан, што повећава забринутост у вези с њиховом поновном експлоатацијом за ДДОС нападе. Многим данашњим ИоТ уређајима често недостају стандардни фирмваре и сигурносни стандарди који би могли заштитити уређаје од лансирања у зомби ботнет. ДПИ ће штитити ИСП-ове и мреже од ИоТ ДДоС напада и помоћи сигурносним аналитичарима да сазнају више о критичним сигурносним пропустима интернета ствари.
  • Приватност. ДПИ помаже медијским компанијама и ИСП-овима да сазнају за клијенте незамисливе начине. Свака страница коју учитате и сваки комад комуникације који се шаље филтрира се и усмјерава кроз ИСП-а. Више није "глупих цеви", провајдери интернет услуга се вертикално интегришу са медијским компанијама (Цомцаст НБЦ / Универсал и АТ&Т Тиме Варнер спајања су два примера) и користе своје податке да би циљали потрошаче на оглашавање и помогли агенцијама за спровођење закона у прикупљању обавештајних података. ИСП-ови користе ДПИ за анализу понашања потрошача на интернету и продају својих особних података о претраживању маркетиншким и рекламним компанијама. Ова пракса изазива забринутост у погледу приватности потрошача. Такође се може користити за обезбеђивање безбедносних агенција од неовлашћеног надзора над активностима корисника, а владе могу да ограниче корисницима приступ одређеним садржајима који су у супротности са њиховим програмом.

Примене Дееп Пацкет Инспецтион

Технологија дубоког прегледа пакета има неколико примена. Неке главне апликације укључују:

network Сецурити

Широко се користи за ватрозиде следеће генерације за праћење и филтрирање саобраћаја по апликационој основи уместо на основу порта, што му омогућава да на бољи начин отклони проблеме са мрежом.

Анти-малваре

Уређај за дубинско проверавање пакета може да открије и филтрира широк спектар злонамерних програма укључујући тројанске програме, вирусе, шпијунски софтвер, адваре и друге злонамерне апликације. То може да уради углавном узимајући неколико приступа:

  • Откривање УРЛ-а - Уређаји за дубинско испитивање пакета могу упоређивати долазне и уграђене УРЛ-ове у односу на базу података познатих злонамерних веб-локација.
  • Објецт Детецтион - Уређаји за дубоку провјеру пакета могу прегледати промет како би пронашли потенцијално штетне извршне датотеке и објекте, а затим их анализирати како би открили малваре.
  • Сигнатуре Детецтион - Уређаји за дубинско испитивање пакета могу да прегледају садржај пакета података у потрази за присуством потписа познатог малвера. Подударање потписа се врши помоћу базе података познатих потписа малвера и обично је потребно да провајдери сигурносних услуга ажурирају базу података потписа.

УРЛ филтрирање

ДПИ уређаји могу да прегледају саобраћај да би тражили тражене УРЛ-ове и блокирали УРЛ-ове који су потенцијално штетни или неприкладни.

Протоколи и препознавање апликација

ДПИ може прегледати саобраћај како би разликовао услуге е-поште, укључујући ИМАП, ПОПКСНУМКС и СМТП. Може да идентификује протоколе као што су ХТТП, ФТП, ТЦП итд. Такође може да погледа у садржај преноса података да види присуство одређених типова датотека као што су Фласх, ИоуТубе, Виндовс Медиа итд. Може да идентификује широк спектар тунелирања, сесије, пеер-то-пеер, поруке и ВоИП протоколи тако да могу усмерити податке за даљу обраду.

Управљање мрежом

ДПИ се може користити за одржавање КоС-а (Куалити оф Сервице) за крајње кориснике. Може се користити за разликовање различитих типова саобраћаја и за одређивање приоритета или пригушивање тих различитих типова саобраћаја како би се одржао основни КоС.

Наплата и мјерење промета

Пружаоци Интернет услуга могу користити ДПИ да претплатницима понуде различите нивое приступа као што су употреба, ограничења података, пропусни опсег итд. Такође се може користити у сврху усклађености одређених прописа саобраћаја, одређивања приоритета саобраћаја и балансирања оптерећења.

Субсцрибер Аналисис

Понекад ДПИ се користи од стране Интернет провајдера за прикупљање статистичких информација о својим претплатницима. На пример, ИСП-ови могу да прикупљају информације о навикама претраживања веба својих претплатника и касније, да то искористе за побољшање маркетиншких прихода.

Дистрибуција апликација и балансирање оптерећења

ДПИ се може користити за преглед садржаја пакета, а затим их преусмјерити на различита одредишта у сврху балансирања оптерећења и толеранције грешака.

Прописи о садржају

ДПИ се може користити за испитивање промета и за блокирање садржаја који су потенцијално штетни или незаконити.

Цопиригхт Енфорцемент

ДПИ се може користити за преглед садржаја пакета и аутоматско откривање и блокирање неовлашћеног дељења садржаја са ауторским правима, укључујући музичке или видео датотеке.

Zakljucak

ДПИ служи многим сврхама од мрежне сигурности до потенцијалне пријетње приватности. Али чекај! Шта је са енкрипцијом? Видимо огроман притисак на шифровање целог Интернет саобраћаја, зар то неће ометати ДПИ? Нова верзија веб протокола, ХТТП / КСНУМКС захтева да шифроване комуникације раде.

ХТТПС шифрира везе, али ваш претраживач мора направити ДНС захтјеве који се првенствено шаљу путем УДП-а, тако да ће се подаци прикупљати као и сви нешифровани линкови или нешифровани колачићи који су неточно послани без ХТТПС-а. Ови додатни битови који ће бити прикупљени могу бити врло важни за врсту садржаја који гледате. То је разлог зашто бисте требали шифрирати свој ДНС.

Дакле, јесмо ли сигурни од ДПИ? Кратак одговор је не, ове компаније се не могу тако брзо отарасити ДПИ-ја, већ могу користити технологију која се зове ССЛБумп која би дјеловала као човјек-у-средини за ДПИ. На пример, ваше радно место се лажи као кодиран сајта на који идете. Пошто контролишу ваш рачунар, чак ни не знате да се то дешава. Онда дешифровање Ваш Интернет саобраћај да користи ДПИ на њему и да га затим поново шифрујете на Интернет.

У суштини, ови алати су развијени за откривање лоших ствари на мрежи. Постоје боље методологије за откривање лоших ствари на мрежи у односу на ДПИ / ССЛБумп које су такође боље у смислу приватности. Иако се чини да компаније не желе да се одрекну ДПИ.

Овај чланак је из ТхеПривациМацхине и објављени након ауторизације. То не представља Gigalight Положај заједнице. Прије репродукције, молимо контактирајте изворног аутора.

Контакт

Емаил: сунвф@гигалигхт.цом