खोल पॅकेट तपासणी (DPI)नेटवर्क पॅकेट ब्रोकर्स (NPBs) मध्ये ग्रेन्युलर स्तरावर नेटवर्क पॅकेटच्या सामग्रीची तपासणी आणि विश्लेषण करण्यासाठी वापरले जाणारे तंत्रज्ञान आहे. नेटवर्क रहदारीबद्दल तपशीलवार अंतर्दृष्टी मिळविण्यासाठी पॅकेट्समधील पेलोड, शीर्षलेख आणि इतर प्रोटोकॉल-विशिष्ट माहितीचे परीक्षण करणे समाविष्ट आहे.
डीपीआय साध्या शीर्षलेख विश्लेषणाच्या पलीकडे जाते आणि नेटवर्कमधून वाहणाऱ्या डेटाची सखोल माहिती प्रदान करते. हे HTTP, FTP, SMTP, VoIP किंवा व्हिडिओ स्ट्रीमिंग प्रोटोकॉल सारख्या ऍप्लिकेशन लेयर प्रोटोकॉलची सखोल तपासणी करण्यास अनुमती देते. पॅकेटमधील वास्तविक सामग्रीचे परीक्षण करून, डीपीआय विशिष्ट अनुप्रयोग, प्रोटोकॉल किंवा अगदी विशिष्ट डेटा पॅटर्न शोधू आणि ओळखू शकतो.
स्त्रोत पत्ते, गंतव्य पत्ते, स्त्रोत पोर्ट, गंतव्य पोर्ट आणि प्रोटोकॉल प्रकारांच्या श्रेणीबद्ध विश्लेषणाव्यतिरिक्त, डीपीआय विविध अनुप्रयोग आणि त्यांची सामग्री ओळखण्यासाठी अनुप्रयोग-स्तर विश्लेषण देखील जोडते. जेव्हा 1P पॅकेट, TCP किंवा UDP डेटा DPI तंत्रज्ञानावर आधारित बँडविड्थ व्यवस्थापन प्रणालीद्वारे प्रवाहित होतो, तेव्हा सिस्टम 1P पॅकेट लोडची सामग्री OSI लेयर 7 प्रोटोकॉलमधील ऍप्लिकेशन स्तर माहितीची पुनर्रचना करण्यासाठी वाचते, जेणेकरून सामग्री मिळवता येईल. संपूर्ण ऍप्लिकेशन प्रोग्राम, आणि नंतर सिस्टमद्वारे परिभाषित केलेल्या व्यवस्थापन धोरणानुसार रहदारीला आकार देणे.
डीपीआय कसे कार्य करते?
पारंपारिक फायरवॉलमध्ये बऱ्याचदा मोठ्या प्रमाणात ट्रॅफिकची संपूर्ण रिअल-टाइम तपासणी करण्यासाठी प्रक्रिया शक्ती नसते. तंत्रज्ञानाच्या प्रगतीमुळे, शीर्षलेख आणि डेटा तपासण्यासाठी अधिक जटिल तपासण्या करण्यासाठी DPI चा वापर केला जाऊ शकतो. सामान्यतः, घुसखोरी शोध प्रणालीसह फायरवॉल सहसा डीपीआय वापरतात. अशा जगात जिथे डिजिटल माहिती सर्वोत्कृष्ट आहे, डिजिटल माहितीचा प्रत्येक भाग लहान पॅकेटमध्ये इंटरनेटवर वितरित केला जातो. यामध्ये ईमेल, ॲपद्वारे पाठवलेले संदेश, भेट दिलेल्या वेबसाइट, व्हिडिओ संभाषणे आणि बरेच काही समाविष्ट आहे. वास्तविक डेटा व्यतिरिक्त, या पॅकेटमध्ये मेटाडेटा समाविष्ट आहे जो रहदारी स्त्रोत, सामग्री, गंतव्यस्थान आणि इतर महत्वाची माहिती ओळखतो. पॅकेट फिल्टरिंग तंत्रज्ञानासह, डेटा योग्य ठिकाणी अग्रेषित केला गेला आहे याची खात्री करण्यासाठी त्याचे सतत परीक्षण आणि व्यवस्थापित केले जाऊ शकते. परंतु नेटवर्क सुरक्षा सुनिश्चित करण्यासाठी, पारंपारिक पॅकेट फिल्टरिंग पुरेसे नाही. नेटवर्क व्यवस्थापनातील खोल पॅकेट तपासणीच्या काही मुख्य पद्धती खाली सूचीबद्ध केल्या आहेत:
जुळणारा मोड/स्वाक्षरी
प्रत्येक पॅकेट इंट्रूजन डिटेक्शन सिस्टम (आयडीएस) क्षमतेसह फायरवॉलद्वारे ज्ञात नेटवर्क हल्ल्यांच्या डेटाबेसशी जुळण्यासाठी तपासले जाते. IDS ज्ञात दुर्भावनायुक्त विशिष्ट पॅटर्न शोधते आणि दुर्भावनायुक्त नमुने आढळल्यावर रहदारी अक्षम करते. स्वाक्षरी जुळणी धोरणाचा तोटा असा आहे की ते फक्त वारंवार अद्यतनित केलेल्या स्वाक्षरींवर लागू होते. याव्यतिरिक्त, हे तंत्रज्ञान केवळ ज्ञात धमक्या किंवा हल्ल्यांपासून बचाव करू शकते.
प्रोटोकॉल अपवाद
प्रोटोकॉल अपवाद तंत्र फक्त स्वाक्षरी डेटाबेसशी जुळत नसलेल्या सर्व डेटाला परवानगी देत नाही, IDS फायरवॉलद्वारे वापरल्या जाणाऱ्या प्रोटोकॉल अपवाद तंत्रात नमुना/स्वाक्षरी जुळणी पद्धतीचे मूळ दोष नाहीत. त्याऐवजी, ते डीफॉल्ट नकार धोरण स्वीकारते. प्रोटोकॉलच्या व्याख्येनुसार, कोणत्या रहदारीला परवानगी द्यायची हे फायरवॉल ठरवतात आणि नेटवर्कला अज्ञात धोक्यांपासून संरक्षण देतात.
घुसखोरी प्रतिबंधक प्रणाली (IPS)
IPS सोल्यूशन्स त्यांच्या सामग्रीवर आधारित हानिकारक पॅकेट्सचे प्रसारण अवरोधित करू शकतात, ज्यामुळे रिअल टाइममध्ये संशयित हल्ले थांबतात. याचा अर्थ असा की जर एखादे पॅकेट ज्ञात सुरक्षा जोखमीचे प्रतिनिधित्व करत असेल, तर IPS नियमांच्या परिभाषित संचाच्या आधारे नेटवर्क रहदारीला सक्रियपणे अवरोधित करेल. IPS चा एक तोटा म्हणजे नवीन धोक्यांच्या तपशीलांसह सायबर धमकीचा डेटाबेस नियमितपणे अद्ययावत करणे आणि खोट्या सकारात्मक गोष्टींची शक्यता. परंतु हा धोका पुराणमतवादी धोरणे आणि सानुकूल थ्रेशोल्ड तयार करून, नेटवर्क घटकांसाठी योग्य आधाररेखा वर्तन स्थापित करून आणि निरीक्षण आणि सतर्कता वाढविण्यासाठी वेळोवेळी चेतावणी आणि अहवाल घटनांचे मूल्यांकन करून कमी केले जाऊ शकते.
1- नेटवर्क पॅकेट ब्रोकरमध्ये डीपीआय (डीप पॅकेट तपासणी).
"खोल" म्हणजे पातळी आणि सामान्य पॅकेट विश्लेषण तुलना, "सामान्य पॅकेट तपासणी" फक्त आयपी पॅकेट 4 लेयरचे खालील विश्लेषण, ज्यामध्ये स्त्रोत पत्ता, गंतव्य पत्ता, स्त्रोत पोर्ट, गंतव्य पोर्ट आणि प्रोटोकॉल प्रकार आणि श्रेणीबद्ध वगळता डीपीआय समाविष्ट आहे विश्लेषण, ऍप्लिकेशन लेयरचे विश्लेषण देखील वाढवले, विविध ऍप्लिकेशन्स आणि सामग्री ओळखणे, मुख्य कार्ये लक्षात येण्यासाठी:
1) अनुप्रयोग विश्लेषण -- नेटवर्क रहदारी रचना विश्लेषण, कार्यप्रदर्शन विश्लेषण आणि प्रवाह विश्लेषण
2) वापरकर्ता विश्लेषण - वापरकर्ता गट भिन्नता, वर्तन विश्लेषण, टर्मिनल विश्लेषण, ट्रेंड विश्लेषण इ.
3) नेटवर्क घटक विश्लेषण -- प्रादेशिक गुणधर्मांवर आधारित विश्लेषण (शहर, जिल्हा, रस्ता, इ.) आणि बेस स्टेशन लोड
४) ट्रॅफिक कंट्रोल -- P2P स्पीड लिमिटिंग, QoS ॲश्युरन्स, बँडविड्थ ॲश्युरन्स, नेटवर्क रिसोर्स ऑप्टिमायझेशन इ.
5) सुरक्षा हमी - DDoS हल्ले, डेटा ब्रॉडकास्ट स्टॉर्म, दुर्भावनापूर्ण व्हायरस हल्ल्यांचा प्रतिबंध इ.
2- नेटवर्क ऍप्लिकेशन्सचे सामान्य वर्गीकरण
आज इंटरनेटवर अगणित अनुप्रयोग आहेत, परंतु सामान्य वेब अनुप्रयोग संपूर्ण असू शकतात.
माझ्या माहितीनुसार, सर्वोत्कृष्ट ॲप ओळखणारी कंपनी Huawei आहे, जी 4,000 ॲप्स ओळखण्याचा दावा करते. प्रोटोकॉल विश्लेषण हे बऱ्याच फायरवॉल कंपन्यांचे (Huawei, ZTE, इ.) मूलभूत मॉड्यूल आहे, आणि ते एक अतिशय महत्त्वाचे मॉड्यूल आहे, जे इतर कार्यात्मक मॉड्यूल्सची प्राप्ती, अचूक अनुप्रयोग ओळख आणि उत्पादनांची कार्यक्षमता आणि विश्वासार्हता मोठ्या प्रमाणात सुधारण्यास समर्थन देते. नेटवर्क ट्रॅफिक वैशिष्ट्यांवर आधारित मालवेअर ओळख मॉडेलिंगमध्ये, जसे मी आता करत आहे, अचूक आणि विस्तृत प्रोटोकॉल ओळखणे देखील खूप महत्वाचे आहे. कंपनीच्या एक्सपोर्ट ट्रॅफिकमधून सामान्य ऍप्लिकेशन्सचे नेटवर्क ट्रॅफिक वगळून, उर्वरित रहदारी थोड्या प्रमाणात असेल, जे मालवेअर विश्लेषण आणि अलार्मसाठी चांगले आहे.
माझ्या अनुभवावर आधारित, विद्यमान सामान्यतः वापरल्या जाणाऱ्या अनुप्रयोगांचे त्यांच्या कार्यांनुसार वर्गीकरण केले जाते:
ता.क.: अर्ज वर्गीकरणाच्या वैयक्तिक समजुतीनुसार, तुमच्याकडे कोणत्याही चांगल्या सूचना असल्यास संदेशाचा प्रस्ताव सोडण्याचे स्वागत आहे
1). ई-मेल
2). व्हिडिओ
3). खेळ
4). ऑफिस OA वर्ग
५). सॉफ्टवेअर अपडेट
६). आर्थिक (बँक, Alipay)
7). साठा
8). सोशल कम्युनिकेशन (IM सॉफ्टवेअर)
9). वेब ब्राउझिंग (कदाचित URL सह चांगले ओळखले जाऊ शकते)
10). डाउनलोड साधने (वेब डिस्क, P2P डाउनलोड, BT संबंधित)
मग, एनपीबीमध्ये डीपीआय (डीप पॅकेट तपासणी) कसे कार्य करते:
1). पॅकेट कॅप्चर: NPB स्विच, राउटर किंवा टॅप यांसारख्या विविध स्त्रोतांकडून नेटवर्क ट्रॅफिक कॅप्चर करते. हे नेटवर्कमधून वाहणारी पॅकेट प्राप्त करते.
2). पॅकेट पार्सिंग: कॅप्चर केलेले पॅकेट विविध प्रोटोकॉल स्तर आणि संबंधित डेटा काढण्यासाठी NPB द्वारे पार्स केले जातात. ही पार्सिंग प्रक्रिया पॅकेटमधील विविध घटक ओळखण्यात मदत करते, जसे की इथरनेट शीर्षलेख, IP शीर्षलेख, वाहतूक स्तर शीर्षलेख (उदा., TCP किंवा UDP), आणि अनुप्रयोग स्तर प्रोटोकॉल.
3). पेलोड विश्लेषण: DPI सह, NPB हेडर तपासणीच्या पलीकडे जाते आणि पॅकेटमधील वास्तविक डेटासह पेलोडवर लक्ष केंद्रित करते. हे संबंधित माहिती काढण्यासाठी वापरलेल्या अनुप्रयोग किंवा प्रोटोकॉलची पर्वा न करता, पेलोड सामग्रीचे सखोल परीक्षण करते.
4). प्रोटोकॉल आयडेंटिफिकेशन: DPI NPB ला नेटवर्क ट्रॅफिकमध्ये वापरले जाणारे विशिष्ट प्रोटोकॉल आणि अनुप्रयोग ओळखण्यास सक्षम करते. हे HTTP, FTP, SMTP, DNS, VoIP किंवा व्हिडिओ स्ट्रीमिंग प्रोटोकॉल सारखे प्रोटोकॉल शोधू आणि वर्गीकृत करू शकते.
५). सामग्री तपासणी: डीपीआय NPB ला विशिष्ट नमुने, स्वाक्षरी किंवा कीवर्डसाठी पॅकेटच्या सामग्रीची तपासणी करण्यास परवानगी देते. हे नेटवर्क धोक्यांचा शोध सक्षम करते, जसे की मालवेअर, व्हायरस, घुसखोरीचे प्रयत्न किंवा संशयास्पद क्रियाकलाप. डीपीआय सामग्री फिल्टरिंग, नेटवर्क धोरणांची अंमलबजावणी किंवा डेटा अनुपालन उल्लंघन ओळखण्यासाठी देखील वापरले जाऊ शकते.
६). मेटाडेटा एक्स्ट्रॅक्शन: DPI दरम्यान, NPB पॅकेट्समधून संबंधित मेटाडेटा काढतो. यामध्ये स्त्रोत आणि गंतव्य IP पत्ते, पोर्ट क्रमांक, सत्र तपशील, व्यवहार डेटा किंवा इतर कोणत्याही संबंधित विशेषता यासारख्या माहितीचा समावेश असू शकतो.
7). ट्रॅफिक रूटिंग किंवा फिल्टरिंग: डीपीआय विश्लेषणाच्या आधारे, एनपीबी पुढील प्रक्रियेसाठी विशिष्ट पॅकेट्स, जसे की सुरक्षा उपकरणे, देखरेख साधने किंवा विश्लेषण प्लॅटफॉर्म नियुक्त केलेल्या गंतव्यस्थानांवर रूट करू शकते. ओळखलेल्या सामग्री किंवा नमुन्यांवर आधारित पॅकेट टाकून देण्यासाठी किंवा पुनर्निर्देशित करण्यासाठी ते फिल्टरिंग नियम देखील लागू करू शकते.
पोस्ट वेळ: जून-25-2023
