खोल पॅकेट तपासणी (डीपीआय)हे नेटवर्क पॅकेट ब्रोकर्स (NPBs) मध्ये वापरले जाणारे तंत्रज्ञान आहे जे नेटवर्क पॅकेटमधील सामग्रीचे बारकावे तपासण्यासाठी आणि विश्लेषण करण्यासाठी वापरले जाते. यामध्ये नेटवर्क ट्रॅफिकमध्ये तपशीलवार अंतर्दृष्टी मिळविण्यासाठी पॅकेटमधील पेलोड, हेडर आणि इतर प्रोटोकॉल-विशिष्ट माहिती तपासणे समाविष्ट आहे.
डीपीआय साध्या हेडर विश्लेषणाच्या पलीकडे जाते आणि नेटवर्कमधून वाहणाऱ्या डेटाची सखोल समज प्रदान करते. ते HTTP, FTP, SMTP, VoIP किंवा व्हिडिओ स्ट्रीमिंग प्रोटोकॉल सारख्या अॅप्लिकेशन लेयर प्रोटोकॉलचे सखोल निरीक्षण करण्यास अनुमती देते. पॅकेटमधील प्रत्यक्ष सामग्रीचे परीक्षण करून, डीपीआय विशिष्ट अॅप्लिकेशन्स, प्रोटोकॉल किंवा अगदी विशिष्ट डेटा पॅटर्न शोधू आणि ओळखू शकते.
स्त्रोत पत्ते, गंतव्य पत्ते, स्त्रोत पोर्ट, गंतव्य पोर्ट आणि प्रोटोकॉल प्रकारांच्या श्रेणीबद्ध विश्लेषणाव्यतिरिक्त, DPI विविध अनुप्रयोग आणि त्यांच्या सामग्री ओळखण्यासाठी अनुप्रयोग-स्तर विश्लेषण देखील जोडते. जेव्हा 1P पॅकेट, TCP किंवा UDP डेटा DPI तंत्रज्ञानावर आधारित बँडविड्थ व्यवस्थापन प्रणालीमधून प्रवाहित होतो, तेव्हा सिस्टम OSI लेयर 7 प्रोटोकॉलमध्ये अनुप्रयोग स्तर माहितीची पुनर्रचना करण्यासाठी 1P पॅकेट लोडची सामग्री वाचते, जेणेकरून संपूर्ण अनुप्रयोग प्रोग्रामची सामग्री मिळू शकेल आणि नंतर सिस्टमद्वारे परिभाषित केलेल्या व्यवस्थापन धोरणानुसार रहदारीला आकार दिला जाईल.
डीपीआय कसे काम करते?
पारंपारिक फायरवॉलमध्ये अनेकदा मोठ्या प्रमाणात ट्रॅफिकवर संपूर्ण रिअल-टाइम तपासणी करण्यासाठी प्रक्रिया शक्ती नसते. तंत्रज्ञान जसजसे पुढे जात आहे तसतसे, हेडर आणि डेटा तपासण्यासाठी अधिक जटिल तपासणी करण्यासाठी DPI चा वापर केला जाऊ शकतो. सामान्यतः, घुसखोरी शोध प्रणाली असलेले फायरवॉल बहुतेकदा DPI वापरतात. डिजिटल माहितीला प्राधान्य देणाऱ्या जगात, डिजिटल माहितीचा प्रत्येक भाग इंटरनेटवर लहान पॅकेटमध्ये वितरित केला जातो. यामध्ये ईमेल, अॅपद्वारे पाठवलेले संदेश, भेट दिलेल्या वेबसाइट, व्हिडिओ संभाषणे आणि बरेच काही समाविष्ट आहे. वास्तविक डेटा व्यतिरिक्त, या पॅकेटमध्ये मेटाडेटा समाविष्ट आहे जो ट्रॅफिक स्रोत, सामग्री, गंतव्यस्थान आणि इतर महत्वाची माहिती ओळखतो. पॅकेट फिल्टरिंग तंत्रज्ञानासह, डेटाचे सतत निरीक्षण केले जाऊ शकते आणि तो योग्य ठिकाणी फॉरवर्ड केला जाईल याची खात्री करण्यासाठी व्यवस्थापित केले जाऊ शकते. परंतु नेटवर्क सुरक्षितता सुनिश्चित करण्यासाठी, पारंपारिक पॅकेट फिल्टरिंग पुरेसे नाही. नेटवर्क व्यवस्थापनात खोल पॅकेट तपासणीच्या काही मुख्य पद्धती खाली सूचीबद्ध आहेत:
जुळणी मोड/स्वाक्षरी
प्रत्येक पॅकेटची तपासणी इंट्रूशन डिटेक्शन सिस्टम (IDS) क्षमता असलेल्या फायरवॉलद्वारे ज्ञात नेटवर्क हल्ल्यांच्या डेटाबेसशी जुळणीसाठी केली जाते. IDS ज्ञात दुर्भावनापूर्ण विशिष्ट नमुन्यांचा शोध घेते आणि दुर्भावनापूर्ण नमुने आढळल्यास रहदारी अक्षम करते. स्वाक्षरी जुळणी धोरणाचा तोटा असा आहे की ते फक्त वारंवार अपडेट केलेल्या स्वाक्षऱ्यांना लागू होते. याव्यतिरिक्त, हे तंत्रज्ञान केवळ ज्ञात धोक्यांपासून किंवा हल्ल्यांपासून बचाव करू शकते.
प्रोटोकॉल अपवाद
प्रोटोकॉल अपवाद तंत्र सिग्नेचर डेटाबेसशी जुळत नसलेल्या सर्व डेटाला परवानगी देत नसल्यामुळे, IDS फायरवॉलद्वारे वापरल्या जाणाऱ्या प्रोटोकॉल अपवाद तंत्रात पॅटर्न/सिग्नेचर मॅचिंग पद्धतीचे मूळ दोष नाहीत. त्याऐवजी, ते डीफॉल्ट रिजेक्शन पॉलिसी स्वीकारते. प्रोटोकॉल व्याख्येनुसार, फायरवॉल कोणत्या ट्रॅफिकला परवानगी द्यायची हे ठरवतात आणि नेटवर्कला अज्ञात धोक्यांपासून संरक्षण करतात.
घुसखोरी प्रतिबंधक प्रणाली (आयपीएस)
आयपीएस सोल्यूशन्स त्यांच्या सामग्रीवर आधारित हानिकारक पॅकेट्सचे प्रसारण रोखू शकतात, ज्यामुळे रिअल टाइममध्ये संशयित हल्ले थांबवता येतात. याचा अर्थ असा की जर पॅकेट ज्ञात सुरक्षा जोखीम दर्शवित असेल तर आयपीएस नियमांच्या परिभाषित संचाच्या आधारे नेटवर्क ट्रॅफिकला सक्रियपणे ब्लॉक करेल. आयपीएसचा एक तोटा म्हणजे नवीन धोक्यांबद्दल तपशीलांसह आणि खोट्या सकारात्मकतेच्या शक्यतेसह सायबर धोक्याचा डेटाबेस नियमितपणे अद्यतनित करण्याची आवश्यकता. परंतु हा धोका रूढीवादी धोरणे आणि कस्टम थ्रेशोल्ड तयार करून, नेटवर्क घटकांसाठी योग्य बेसलाइन वर्तन स्थापित करून आणि निरीक्षण आणि सतर्कता वाढविण्यासाठी वेळोवेळी चेतावणी आणि अहवाल दिलेल्या घटनांचे मूल्यांकन करून कमी केला जाऊ शकतो.
१- नेटवर्क पॅकेट ब्रोकरमध्ये डीपीआय (डीप पॅकेट तपासणी)
"खोल" म्हणजे पातळी आणि सामान्य पॅकेट विश्लेषण तुलना, "सामान्य पॅकेट तपासणी" म्हणजे आयपी पॅकेट ४ लेयरचे फक्त खालील विश्लेषण, ज्यामध्ये स्त्रोत पत्ता, गंतव्य पत्ता, स्त्रोत पोर्ट, गंतव्य पोर्ट आणि प्रोटोकॉल प्रकार आणि पदानुक्रमित विश्लेषण वगळता डीपीआय समाविष्ट आहे, तसेच अनुप्रयोग स्तर विश्लेषण वाढवले, विविध अनुप्रयोग आणि सामग्री ओळखली, मुख्य कार्ये साध्य करण्यासाठी:
१) अनुप्रयोग विश्लेषण -- नेटवर्क रहदारी रचना विश्लेषण, कामगिरी विश्लेषण आणि प्रवाह विश्लेषण
२) वापरकर्ता विश्लेषण -- वापरकर्ता गट भिन्नता, वर्तन विश्लेषण, टर्मिनल विश्लेषण, ट्रेंड विश्लेषण, इ.
३) नेटवर्क एलिमेंट विश्लेषण -- प्रादेशिक गुणधर्मांवर आधारित विश्लेषण (शहर, जिल्हा, रस्ता, इ.) आणि बेस स्टेशन लोड
४) वाहतूक नियंत्रण -- P2P गती मर्यादा, QoS हमी, बँडविड्थ हमी, नेटवर्क संसाधन ऑप्टिमायझेशन, इ.
५) सुरक्षा हमी -- DDoS हल्ले, डेटा प्रसारण वादळ, दुर्भावनापूर्ण व्हायरस हल्ल्यांना प्रतिबंध इ.
२- नेटवर्क अनुप्रयोगांचे सामान्य वर्गीकरण
आज इंटरनेटवर असंख्य अनुप्रयोग आहेत, परंतु सामान्य वेब अनुप्रयोग परिपूर्ण असू शकतात.
माझ्या माहितीनुसार, सर्वोत्तम अॅप ओळखणारी कंपनी Huawei आहे, जी ४,००० अॅप्स ओळखण्याचा दावा करते. प्रोटोकॉल विश्लेषण हे अनेक फायरवॉल कंपन्यांचे (Huawei, ZTE, इ.) मूलभूत मॉड्यूल आहे आणि ते एक अतिशय महत्त्वाचे मॉड्यूल देखील आहे, जे इतर कार्यात्मक मॉड्यूलच्या अंमलबजावणीला, अचूक अनुप्रयोग ओळखण्यास आणि उत्पादनांच्या कार्यप्रदर्शन आणि विश्वासार्हतेला मोठ्या प्रमाणात सुधारण्यास समर्थन देते. नेटवर्क ट्रॅफिक वैशिष्ट्यांवर आधारित मालवेअर ओळख मॉडेलिंगमध्ये, जसे मी आता करत आहे, अचूक आणि व्यापक प्रोटोकॉल ओळख देखील खूप महत्वाची आहे. कंपनीच्या निर्यात रहदारीमधून सामान्य अनुप्रयोगांच्या नेटवर्क रहदारी वगळल्यास, उर्वरित रहदारी थोड्या प्रमाणात असेल, जी मालवेअर विश्लेषण आणि अलार्मसाठी चांगली आहे.
माझ्या अनुभवावर आधारित, सध्या वापरल्या जाणाऱ्या सामान्य अनुप्रयोगांचे त्यांच्या कार्यांनुसार वर्गीकरण केले आहे:
PS: अर्ज वर्गीकरणाच्या वैयक्तिक समजुतीनुसार, तुमच्याकडे काही चांगल्या सूचना असतील तर संदेश प्रस्ताव सोडण्यास स्वागत आहे.
१). ई-मेल
२). व्हिडिओ
३). खेळ
४) ऑफिस ओए वर्ग
५) सॉफ्टवेअर अपडेट
६). आर्थिक (बँक, अलिपे)
७) साठा
८). सामाजिक संवाद (आयएम सॉफ्टवेअर)
९). वेब ब्राउझिंग (कदाचित URL सह चांगले ओळखले जाऊ शकते)
१०). डाउनलोड टूल्स (वेब डिस्क, पी२पी डाउनलोड, बीटी संबंधित)
मग, NPB मध्ये DPI (डीप पॅकेट इन्स्पेक्शन) कसे काम करते:
१). पॅकेट कॅप्चर: NPB स्विच, राउटर किंवा टॅप्स सारख्या विविध स्रोतांमधून नेटवर्क ट्रॅफिक कॅप्चर करते. ते नेटवर्कमधून वाहणारे पॅकेट प्राप्त करते.
२). पॅकेट पार्सिंग: कॅप्चर केलेले पॅकेट NPB द्वारे विविध प्रोटोकॉल लेयर्स आणि संबंधित डेटा काढण्यासाठी पार्स केले जातात. ही पार्सिंग प्रक्रिया पॅकेटमधील विविध घटक ओळखण्यास मदत करते, जसे की इथरनेट हेडर, IP हेडर, ट्रान्सपोर्ट लेयर हेडर (उदा., TCP किंवा UDP), आणि अॅप्लिकेशन लेयर प्रोटोकॉल.
३). पेलोड विश्लेषण: डीपीआय सह, एनपीबी हेडर तपासणीच्या पलीकडे जाते आणि पॅकेट्समधील प्रत्यक्ष डेटासह पेलोडवर लक्ष केंद्रित करते. ते संबंधित माहिती काढण्यासाठी वापरल्या जाणाऱ्या अनुप्रयोग किंवा प्रोटोकॉलकडे दुर्लक्ष करून, पेलोड सामग्रीची सखोल तपासणी करते.
४). प्रोटोकॉल ओळख: DPI NPB ला नेटवर्क ट्रॅफिकमध्ये वापरल्या जाणाऱ्या विशिष्ट प्रोटोकॉल आणि अनुप्रयोगांची ओळख पटविण्यास सक्षम करते. ते HTTP, FTP, SMTP, DNS, VoIP किंवा व्हिडिओ स्ट्रीमिंग प्रोटोकॉल सारखे प्रोटोकॉल शोधू शकते आणि त्यांचे वर्गीकरण करू शकते.
५). सामग्री तपासणी: डीपीआय एनपीबीला विशिष्ट नमुने, स्वाक्षरी किंवा कीवर्डसाठी पॅकेटमधील सामग्रीची तपासणी करण्याची परवानगी देते. हे मालवेअर, व्हायरस, घुसखोरीचे प्रयत्न किंवा संशयास्पद क्रियाकलाप यासारख्या नेटवर्क धोक्यांचा शोध घेण्यास सक्षम करते. डीपीआयचा वापर सामग्री फिल्टरिंग, नेटवर्क धोरणे लागू करण्यासाठी किंवा डेटा अनुपालन उल्लंघन ओळखण्यासाठी देखील केला जाऊ शकतो.
६). मेटाडेटा एक्सट्रॅक्शन: डीपीआय दरम्यान, एनपीबी पॅकेट्समधून संबंधित मेटाडेटा एक्सट्रॅक्ट करते. यामध्ये स्रोत आणि गंतव्यस्थान आयपी पत्ते, पोर्ट क्रमांक, सत्र तपशील, व्यवहार डेटा किंवा इतर कोणत्याही संबंधित गुणधर्मांसारखी माहिती समाविष्ट असू शकते.
७). ट्रॅफिक राउटिंग किंवा फिल्टरिंग: डीपीआय विश्लेषणाच्या आधारे, एनपीबी विशिष्ट पॅकेट्सना पुढील प्रक्रियेसाठी नियुक्त केलेल्या गंतव्यस्थानांवर राउट करू शकते, जसे की सुरक्षा उपकरणे, देखरेख साधने किंवा विश्लेषण प्लॅटफॉर्म. ते ओळखलेल्या सामग्री किंवा नमुन्यांवर आधारित पॅकेट्स टाकून देण्यासाठी किंवा पुनर्निर्देशित करण्यासाठी फिल्टरिंग नियम देखील लागू करू शकते.
पोस्ट वेळ: जून-२५-२०२३
