डीप पॅकेट तपासणी (डीपीआय)नेटवर्क पॅकेट ब्रोकर्स (NPBs) मध्ये नेटवर्क पॅकेट्समधील सामग्रीची सूक्ष्म स्तरावर तपासणी आणि विश्लेषण करण्यासाठी वापरले जाणारे हे एक तंत्रज्ञान आहे. नेटवर्क ट्रॅफिकबद्दल सविस्तर माहिती मिळवण्यासाठी यामध्ये पॅकेट्समधील पेलोड, हेडर्स आणि इतर प्रोटोकॉल-विशिष्ट माहिती तपासली जाते.
डीपीआय (DPI) केवळ हेडर विश्लेषणाच्या पलीकडे जाऊन नेटवर्कमधून वाहणाऱ्या डेटाची सखोल माहिती देते. यामुळे HTTP, FTP, SMTP, VoIP किंवा व्हिडिओ स्ट्रीमिंग प्रोटोकॉल्ससारख्या ॲप्लिकेशन लेयर प्रोटोकॉल्सची सखोल तपासणी करता येते. पॅकेट्समधील प्रत्यक्ष सामग्रीचे परीक्षण करून, डीपीआय विशिष्ट ॲप्लिकेशन्स, प्रोटोकॉल्स किंवा अगदी विशिष्ट डेटा पॅटर्न्स शोधून ओळखू शकते.
स्रोत पत्ते, गंतव्य पत्ते, स्रोत पोर्ट, गंतव्य पोर्ट आणि प्रोटोकॉल प्रकार यांच्या पदानुक्रमिक विश्लेषणाव्यतिरिक्त, DPI विविध ॲप्लिकेशन्स आणि त्यांतील सामग्री ओळखण्यासाठी ॲप्लिकेशन-स्तर विश्लेषण देखील करते. जेव्हा 1P पॅकेट, TCP किंवा UDP डेटा DPI तंत्रज्ञानावर आधारित बँडविड्थ व्यवस्थापन प्रणालीमधून जातो, तेव्हा प्रणाली लोड केलेल्या 1P पॅकेटमधील सामग्री वाचून OSI लेयर 7 प्रोटोकॉलमधील ॲप्लिकेशन-स्तर माहितीची पुनर्रचना करते, जेणेकरून संपूर्ण ॲप्लिकेशन प्रोग्रामची सामग्री मिळवता येते, आणि नंतर प्रणालीद्वारे परिभाषित केलेल्या व्यवस्थापन धोरणानुसार ट्रॅफिकला आकार दिला जातो.
डीपीआय (DPI) कसे काम करते?
पारंपारिक फायरवॉलमध्ये मोठ्या प्रमाणात ट्रॅफिकची सखोल रिअल-टाइम तपासणी करण्यासाठी आवश्यक प्रोसेसिंग पॉवरची अनेकदा कमतरता असते. जसजसे तंत्रज्ञान प्रगत होत आहे, तसतसे हेडर आणि डेटा तपासण्यासाठी अधिक जटिल तपासणी करण्याकरिता डीपीआय (DPI) चा वापर केला जाऊ शकतो. सामान्यतः, इंट्रूजन डिटेक्शन सिस्टीम असलेले फायरवॉल अनेकदा डीपीआयचा वापर करतात. ज्या जगात डिजिटल माहितीला सर्वोच्च महत्त्व आहे, तिथे डिजिटल माहितीचा प्रत्येक तुकडा इंटरनेटवर लहान पॅकेट्समध्ये वितरित केला जातो. यामध्ये ईमेल, ॲपद्वारे पाठवलेले संदेश, भेट दिलेल्या वेबसाइट्स, व्हिडिओ संभाषणे आणि बरेच काही समाविष्ट आहे. प्रत्यक्ष डेटाव्यतिरिक्त, या पॅकेट्समध्ये मेटाडेटा समाविष्ट असतो, जो ट्रॅफिकचा स्रोत, सामग्री, गंतव्यस्थान आणि इतर महत्त्वाची माहिती ओळखतो. पॅकेट फिल्टरिंग तंत्रज्ञानाद्वारे, डेटा योग्य ठिकाणी पाठवला जाईल याची खात्री करण्यासाठी त्याचे सतत निरीक्षण आणि व्यवस्थापन केले जाऊ शकते. परंतु नेटवर्क सुरक्षा सुनिश्चित करण्यासाठी, पारंपारिक पॅकेट फिल्टरिंग पुरेसे नाही. नेटवर्क व्यवस्थापनातील डीप पॅकेट इन्स्पेक्शनच्या काही मुख्य पद्धती खालीलप्रमाणे आहेत:
जुळणी मोड/स्वाक्षरी
इंट्रूजन डिटेक्शन सिस्टम (IDS) क्षमता असलेल्या फायरवॉलद्वारे प्रत्येक पॅकेटची, ज्ञात नेटवर्क हल्ल्यांच्या डेटाबेसशी जुळणी तपासली जाते. IDS ज्ञात दुर्भावनापूर्ण विशिष्ट पॅटर्न शोधते आणि दुर्भावनापूर्ण पॅटर्न आढळल्यास ट्रॅफिक अक्षम करते. सिग्नेचर मॅचिंग पॉलिसीचा तोटा हा आहे की ती केवळ वारंवार अपडेट होणाऱ्या सिग्नेचरनाच लागू होते. याव्यतिरिक्त, हे तंत्रज्ञान केवळ ज्ञात धोके किंवा हल्ल्यांपासूनच संरक्षण करू शकते.
प्रोटोकॉल अपवाद
प्रोटोकॉल अपवाद तंत्र हे सिग्नेचर डेटाबेसशी जुळत नसलेल्या सर्व डेटाला सरळ परवानगी देत नसल्यामुळे, आयडीएस फायरवॉलद्वारे वापरल्या जाणाऱ्या प्रोटोकॉल अपवाद तंत्रात पॅटर्न/सिग्नेचर जुळवणी पद्धतीचे अंगभूत दोष नसतात. त्याऐवजी, ते डीफॉल्ट अस्वीकृती धोरण स्वीकारते. प्रोटोकॉलच्या व्याख्येनुसार, फायरवॉल ठरवतात की कोणत्या ट्रॅफिकला परवानगी द्यावी आणि नेटवर्कला अज्ञात धोक्यांपासून सुरक्षित ठेवावे.
घुसखोरी प्रतिबंध प्रणाली (IPS)
आयपीएस सोल्यूशन्स हानिकारक पॅकेट्सचे प्रसारण त्यांच्या सामग्रीच्या आधारावर रोखू शकतात, ज्यामुळे संशयित हल्ले तात्काळ थांबतात. याचा अर्थ असा की, जर एखादे पॅकेट ज्ञात सुरक्षा धोक्याचे प्रतिनिधित्व करत असेल, तर आयपीएस परिभाषित नियमांच्या संचाच्या आधारावर नेटवर्क ट्रॅफिकला सक्रियपणे अवरोधित करेल. आयपीएसचा एक तोटा म्हणजे नवीन धोक्यांच्या तपशिलांसह सायबर थ्रेट डेटाबेस नियमितपणे अद्ययावत करण्याची गरज आणि फॉल्स पॉझिटिव्हची शक्यता. परंतु हा धोका कमी करण्यासाठी, सुरक्षित धोरणे आणि सानुकूल मर्यादा तयार करणे, नेटवर्क घटकांसाठी योग्य बेसलाइन वर्तन स्थापित करणे, आणि देखरेख व सूचना प्रणाली सुधारण्यासाठी चेतावण्या आणि नोंदवलेल्या घटनांचे नियमितपणे मूल्यांकन करणे आवश्यक आहे.
१- नेटवर्क पॅकेट ब्रोकरमधील डीपीआय (डीप पॅकेट इन्स्पेक्शन)
'डीप' हे स्तर आणि सामान्य पॅकेट विश्लेषणाची तुलना आहे, 'सामान्य पॅकेट तपासणी' (ऑर्डिनरी पॅकेट इन्स्पेक्शन) केवळ आयपी पॅकेटच्या खालील ४ स्तरांचे विश्लेषण करते, ज्यात स्त्रोत पत्ता, गंतव्य पत्ता, स्त्रोत पोर्ट, गंतव्य पोर्ट आणि प्रोटोकॉल प्रकार यांचा समावेश असतो. डीपीआय (DPI) पदानुक्रमित विश्लेषणाव्यतिरिक्त, ॲप्लिकेशन स्तराचे विश्लेषण देखील वाढवते, विविध ॲप्लिकेशन्स आणि सामग्री ओळखते, आणि मुख्य कार्ये साध्य करते:
१) ॲप्लिकेशन विश्लेषण -- नेटवर्क ट्रॅफिकच्या रचनेचे विश्लेषण, कार्यप्रदर्शनाचे विश्लेषण आणि प्रवाहाचे विश्लेषण
२) वापरकर्ता विश्लेषण -- वापरकर्ता गट भेद, वर्तन विश्लेषण, टर्मिनल विश्लेषण, ट्रेंड विश्लेषण, इत्यादी.
३) नेटवर्क घटकांचे विश्लेषण -- प्रादेशिक वैशिष्ट्ये (शहर, जिल्हा, रस्ता, इत्यादी) आणि बेस स्टेशनवरील भार यावर आधारित विश्लेषण
४) ट्रॅफिक कंट्रोल -- पी२पी स्पीड लिमिटिंग, क्यूओएस अॅश्युरन्स, बँडविड्थ अॅश्युरन्स, नेटवर्क रिसोर्स ऑप्टिमायझेशन, इत्यादी.
५) सुरक्षेची हमी -- डीडॉस हल्ले, डेटा ब्रॉडकास्ट स्टॉर्म, घातक व्हायरस हल्ल्यांपासून प्रतिबंध, इत्यादी.
२- नेटवर्क अनुप्रयोगांचे सामान्य वर्गीकरण
आज इंटरनेटवर असंख्य ॲप्लिकेशन्स आहेत, पण सर्वसामान्य वेब ॲप्लिकेशन्सची यादी खूप मोठी असू शकते.
माझ्या माहितीनुसार, सर्वोत्तम ॲप ओळखणारी कंपनी हुआवे (Huawei) आहे, जी ४,००० ॲप्स ओळखण्याचा दावा करते. प्रोटोकॉल विश्लेषण हे अनेक फायरवॉल कंपन्यांचे (हुआवे, झेडटीई, इत्यादी) मूलभूत मॉड्यूल आहे आणि ते एक अत्यंत महत्त्वाचे मॉड्यूल देखील आहे. ते इतर कार्यात्मक मॉड्यूल्सच्या अंमलबजावणीस, अचूक ॲप्लिकेशन ओळखीस समर्थन देते आणि उत्पादनांची कार्यक्षमता व विश्वसनीयता मोठ्या प्रमाणात सुधारते. नेटवर्क ट्रॅफिकच्या वैशिष्ट्यांवर आधारित मालवेअर ओळखीचे मॉडेलिंग करताना, जसे मी आता करत आहे, अचूक आणि व्यापक प्रोटोकॉल ओळख देखील खूप महत्त्वाची आहे. कंपनीच्या निर्यात ट्रॅफिकमधून सामान्य ॲप्लिकेशन्सचा नेटवर्क ट्रॅफिक वगळल्यास, उर्वरित ट्रॅफिकचा वाटा कमी असतो, जे मालवेअर विश्लेषण आणि अलार्मसाठी अधिक चांगले आहे.
माझ्या अनुभवानुसार, सध्या सामान्यपणे वापरल्या जाणाऱ्या अनुप्रयोगांचे त्यांच्या कार्यांनुसार वर्गीकरण केले जाते:
टीप: अर्जाच्या वर्गीकरणाबद्दलच्या तुमच्या वैयक्तिक समजुतीनुसार, तुमच्या काही चांगल्या सूचना असल्यास, कृपया संदेशाद्वारे प्रस्ताव द्या.
१). ई-मेल
२). व्हिडिओ
३). खेळ
४). ऑफिस ओए क्लास
५). सॉफ्टवेअर अपडेट
६). आर्थिक (बँक, अलिपे)
७). स्टॉक्स
८). सामाजिक संवाद (आयएम सॉफ्टवेअर)
९). वेब ब्राउझिंग (बहुधा यूआरएलद्वारे अधिक चांगल्या प्रकारे ओळखले जाते)
१०). डाउनलोड साधने (वेब डिस्क, पी२पी डाउनलोड, बीटी संबंधित)
मग, एनपीबीमध्ये डीपीआय (डीप पॅकेट इन्स्पेक्शन) कसे काम करते:
१). पॅकेट कॅप्चर: एनपीबी (NPB) स्विचेस, राउटर्स किंवा टॅप्स यांसारख्या विविध स्रोतांकडून नेटवर्क ट्रॅफिक कॅप्चर करते. ते नेटवर्कमधून प्रवाहित होणारे पॅकेट्स स्वीकारते.
२). पॅकेट पार्सिंग: विविध प्रोटोकॉल स्तर आणि संबंधित डेटा काढण्यासाठी NPB द्वारे कॅप्चर केलेल्या पॅकेट्सचे पार्सिंग केले जाते. ही पार्सिंग प्रक्रिया पॅकेट्समधील विविध घटक, जसे की इथरनेट हेडर्स, आयपी हेडर्स, ट्रान्सपोर्ट लेयर हेडर्स (उदा., TCP किंवा UDP), आणि ॲप्लिकेशन लेयर प्रोटोकॉल्स ओळखण्यास मदत करते.
३). पेलोड विश्लेषण: DPI द्वारे, NPB हेडर तपासणीच्या पलीकडे जाऊन पेलोडवर लक्ष केंद्रित करते, ज्यामध्ये पॅकेट्समधील प्रत्यक्ष डेटाचा समावेश असतो. संबंधित माहिती काढण्यासाठी, वापरलेल्या ॲप्लिकेशन किंवा प्रोटोकॉलचा विचार न करता, ते पेलोडमधील सामग्रीची सखोल तपासणी करते.
४). प्रोटोकॉल ओळख: DPI मुळे NPB ला नेटवर्क ट्रॅफिकमध्ये वापरले जाणारे विशिष्ट प्रोटोकॉल आणि ॲप्लिकेशन्स ओळखता येतात. ते HTTP, FTP, SMTP, DNS, VoIP किंवा व्हिडिओ स्ट्रीमिंग प्रोटोकॉलसारखे प्रोटोकॉल शोधू आणि वर्गीकृत करू शकते.
५). सामग्री तपासणी: DPI मुळे NPB ला पॅकेट्समधील सामग्रीमध्ये विशिष्ट पॅटर्न, सिग्नेचर किंवा कीवर्ड तपासता येतात. यामुळे मालवेअर, व्हायरस, घुसखोरीचे प्रयत्न किंवा संशयास्पद हालचाली यांसारखे नेटवर्क धोके शोधणे शक्य होते. DPI चा वापर सामग्री फिल्टरिंगसाठी, नेटवर्क धोरणांची अंमलबजावणी करण्यासाठी किंवा डेटा अनुपालन उल्लंघने ओळखण्यासाठी देखील केला जाऊ शकतो.
६). मेटाडेटा निष्कर्षण: DPI दरम्यान, NPB पॅकेट्समधून संबंधित मेटाडेटा काढते. यामध्ये स्रोत आणि गंतव्य IP पत्ते, पोर्ट क्रमांक, सत्राचा तपशील, व्यवहाराचा डेटा किंवा इतर कोणतेही संबंधित गुणधर्म यासारख्या माहितीचा समावेश असू शकतो.
७). ट्रॅफिक राउटिंग किंवा फिल्टरिंग: DPI विश्लेषणाच्या आधारावर, NPB विशिष्ट पॅकेट्सना पुढील प्रक्रियेसाठी सुरक्षा उपकरणे, मॉनिटरिंग टूल्स किंवा ॲनालिटिक्स प्लॅटफॉर्म्स यांसारख्या निर्धारित ठिकाणी राउट करू शकते. तसेच, ओळखलेल्या सामग्री किंवा पॅटर्न्सच्या आधारावर पॅकेट्स टाकून देण्यासाठी किंवा पुनर्निर्देशित करण्यासाठी ते फिल्टरिंग नियम लागू करू शकते.
पोस्ट करण्याची वेळ: २५ जून २०२३
