खोल पॅकेट तपासणी (DPI)नेटवर्क पॅकेट ब्रोकर्स (NPBs) मध्ये ग्रेन्युलर स्तरावर नेटवर्क पॅकेटच्या सामग्रीची तपासणी आणि विश्लेषण करण्यासाठी वापरले जाणारे तंत्रज्ञान आहे.नेटवर्क रहदारीबद्दल तपशीलवार अंतर्दृष्टी मिळविण्यासाठी पॅकेट्समधील पेलोड, शीर्षलेख आणि इतर प्रोटोकॉल-विशिष्ट माहितीचे परीक्षण करणे समाविष्ट आहे.
डीपीआय साध्या शीर्षलेख विश्लेषणाच्या पलीकडे जाते आणि नेटवर्कमधून वाहणाऱ्या डेटाची सखोल माहिती प्रदान करते.हे HTTP, FTP, SMTP, VoIP किंवा व्हिडिओ स्ट्रीमिंग प्रोटोकॉल सारख्या ऍप्लिकेशन लेयर प्रोटोकॉलची सखोल तपासणी करण्यास अनुमती देते.पॅकेटमधील वास्तविक सामग्रीचे परीक्षण करून, डीपीआय विशिष्ट अनुप्रयोग, प्रोटोकॉल किंवा अगदी विशिष्ट डेटा पॅटर्न शोधू आणि ओळखू शकतो.
स्त्रोत पत्ते, गंतव्य पत्ते, स्त्रोत पोर्ट, गंतव्य पोर्ट आणि प्रोटोकॉल प्रकारांच्या श्रेणीबद्ध विश्लेषणाव्यतिरिक्त, डीपीआय विविध अनुप्रयोग आणि त्यांची सामग्री ओळखण्यासाठी अनुप्रयोग-स्तर विश्लेषण देखील जोडते.जेव्हा 1P पॅकेट, TCP किंवा UDP डेटा DPI तंत्रज्ञानावर आधारित बँडविड्थ व्यवस्थापन प्रणालीद्वारे प्रवाहित होतो, तेव्हा सिस्टम 1P पॅकेट लोडची सामग्री OSI लेयर 7 प्रोटोकॉलमध्ये ऍप्लिकेशन स्तर माहितीची पुनर्रचना करण्यासाठी वाचते, जेणेकरून सामग्री मिळवता येईल. संपूर्ण ऍप्लिकेशन प्रोग्राम, आणि नंतर सिस्टमद्वारे परिभाषित केलेल्या व्यवस्थापन धोरणानुसार रहदारीला आकार देणे.
डीपीआय कसे कार्य करते?
पारंपारिक फायरवॉलमध्ये बऱ्याचदा मोठ्या प्रमाणात ट्रॅफिकची संपूर्ण रिअल-टाइम तपासणी करण्यासाठी प्रक्रिया शक्ती नसते.तंत्रज्ञानाच्या प्रगतीमुळे, शीर्षलेख आणि डेटा तपासण्यासाठी अधिक जटिल तपासण्या करण्यासाठी DPI चा वापर केला जाऊ शकतो.सामान्यतः, घुसखोरी शोध प्रणालीसह फायरवॉल सहसा डीपीआय वापरतात.डिजिटल माहिती सर्वोपरि आहे अशा जगात, डिजिटल माहितीचा प्रत्येक तुकडा इंटरनेटवर लहान पॅकेटमध्ये वितरित केला जातो.यामध्ये ईमेल, ॲपद्वारे पाठवलेले संदेश, भेट दिलेल्या वेबसाइट, व्हिडिओ संभाषणे आणि बरेच काही समाविष्ट आहे.वास्तविक डेटा व्यतिरिक्त, या पॅकेटमध्ये मेटाडेटा समाविष्ट आहे जो रहदारी स्त्रोत, सामग्री, गंतव्यस्थान आणि इतर महत्वाची माहिती ओळखतो.पॅकेट फिल्टरिंग तंत्रज्ञानासह, डेटा योग्य ठिकाणी अग्रेषित केला गेला आहे याची खात्री करण्यासाठी त्याचे सतत परीक्षण आणि व्यवस्थापित केले जाऊ शकते.परंतु नेटवर्क सुरक्षा सुनिश्चित करण्यासाठी, पारंपारिक पॅकेट फिल्टरिंग पुरेसे नाही.नेटवर्क व्यवस्थापनातील खोल पॅकेट तपासणीच्या काही मुख्य पद्धती खाली सूचीबद्ध केल्या आहेत:
जुळणारा मोड/स्वाक्षरी
प्रत्येक पॅकेट इंट्रूजन डिटेक्शन सिस्टम (आयडीएस) क्षमतेसह फायरवॉलद्वारे ज्ञात नेटवर्क हल्ल्यांच्या डेटाबेसशी जुळण्यासाठी तपासले जाते.IDS ज्ञात दुर्भावनायुक्त विशिष्ट पॅटर्न शोधते आणि दुर्भावनायुक्त नमुने आढळल्यावर रहदारी अक्षम करते.स्वाक्षरी जुळणी धोरणाचा तोटा असा आहे की ते फक्त वारंवार अद्यतनित केलेल्या स्वाक्षरींवर लागू होते.याव्यतिरिक्त, हे तंत्रज्ञान केवळ ज्ञात धमक्या किंवा हल्ल्यांपासून बचाव करू शकते.
प्रोटोकॉल अपवाद
प्रोटोकॉल अपवाद तंत्र फक्त स्वाक्षरी डेटाबेसशी जुळत नसलेल्या सर्व डेटाला परवानगी देत नाही, IDS फायरवॉलद्वारे वापरल्या जाणाऱ्या प्रोटोकॉल अपवाद तंत्रात नमुना/स्वाक्षरी जुळणी पद्धतीचे मूळ दोष नाहीत.त्याऐवजी, ते डीफॉल्ट नकार धोरण स्वीकारते.प्रोटोकॉलच्या व्याख्येनुसार, कोणत्या रहदारीला परवानगी द्यायची हे फायरवॉल ठरवतात आणि नेटवर्कला अज्ञात धोक्यांपासून संरक्षण देतात.
घुसखोरी प्रतिबंधक प्रणाली (IPS)
IPS सोल्यूशन्स त्यांच्या सामग्रीवर आधारित हानिकारक पॅकेट्सचे प्रसारण अवरोधित करू शकतात, ज्यामुळे वास्तविक वेळेत संशयित हल्ले थांबतात.याचा अर्थ असा की जर एखादे पॅकेट ज्ञात सुरक्षा धोक्याचे प्रतिनिधित्व करत असेल, तर IPS नियमांच्या परिभाषित संचाच्या आधारे नेटवर्क रहदारीला सक्रियपणे अवरोधित करेल.IPS चा एक तोटा म्हणजे नवीन धोक्यांचे तपशील आणि खोट्या सकारात्मक गोष्टींची शक्यता असलेला सायबर धोका डेटाबेस नियमितपणे अपडेट करणे आवश्यक आहे.परंतु हा धोका पुराणमतवादी धोरणे आणि सानुकूल थ्रेशोल्ड तयार करून, नेटवर्क घटकांसाठी योग्य आधाररेखा वर्तन स्थापित करून आणि निरीक्षण आणि सतर्कता वाढवण्यासाठी इशारे आणि घटनांची नोंद करून वेळोवेळी मूल्यांकन करून कमी केला जाऊ शकतो.
1- नेटवर्क पॅकेट ब्रोकरमध्ये डीपीआय (डीप पॅकेट तपासणी).
"खोल" म्हणजे पातळी आणि सामान्य पॅकेट विश्लेषण तुलना, "सामान्य पॅकेट तपासणी" फक्त आयपी पॅकेट 4 लेयरचे खालील विश्लेषण, ज्यामध्ये स्त्रोत पत्ता, गंतव्य पत्ता, स्त्रोत पोर्ट, गंतव्य पोर्ट आणि प्रोटोकॉल प्रकार आणि श्रेणीबद्ध वगळता डीपीआय समाविष्ट आहे विश्लेषण, ऍप्लिकेशन लेयरचे विश्लेषण देखील वाढवले, विविध ऍप्लिकेशन्स आणि सामग्री ओळखणे, मुख्य कार्ये लक्षात येण्यासाठी:
1) अनुप्रयोग विश्लेषण -- नेटवर्क रहदारी रचना विश्लेषण, कार्यप्रदर्शन विश्लेषण आणि प्रवाह विश्लेषण
2) वापरकर्ता विश्लेषण - वापरकर्ता गट भिन्नता, वर्तन विश्लेषण, टर्मिनल विश्लेषण, ट्रेंड विश्लेषण इ.
3) नेटवर्क घटक विश्लेषण -- प्रादेशिक गुणधर्मांवर आधारित विश्लेषण (शहर, जिल्हा, रस्ता, इ.) आणि बेस स्टेशन लोड
४) ट्रॅफिक कंट्रोल -- P2P स्पीड लिमिटिंग, QoS ॲश्युरन्स, बँडविड्थ ॲश्युरन्स, नेटवर्क रिसोर्स ऑप्टिमायझेशन इ.
5) सुरक्षा हमी - DDoS हल्ले, डेटा ब्रॉडकास्ट स्टॉर्म, दुर्भावनापूर्ण व्हायरस हल्ल्यांचा प्रतिबंध इ.
2- नेटवर्क ऍप्लिकेशन्सचे सामान्य वर्गीकरण
आज इंटरनेटवर अगणित अनुप्रयोग आहेत, परंतु सामान्य वेब अनुप्रयोग संपूर्ण असू शकतात.
माझ्या माहितीनुसार, सर्वोत्कृष्ट ॲप ओळखणारी कंपनी Huawei आहे, जी 4,000 ॲप्स ओळखण्याचा दावा करते.प्रोटोकॉल विश्लेषण हे बऱ्याच फायरवॉल कंपन्यांचे (Huawei, ZTE, इ.) मूलभूत मॉड्यूल आहे, आणि ते एक अतिशय महत्त्वाचे मॉड्यूल आहे, जे इतर कार्यात्मक मॉड्यूल्सची प्राप्ती, अचूक अनुप्रयोग ओळख आणि उत्पादनांची कार्यक्षमता आणि विश्वासार्हता मोठ्या प्रमाणात सुधारण्यास समर्थन देते.नेटवर्क ट्रॅफिक वैशिष्ट्यांवर आधारित मालवेअर ओळख मॉडेलिंगमध्ये, जसे मी आता करत आहे, अचूक आणि विस्तृत प्रोटोकॉल ओळखणे देखील खूप महत्वाचे आहे.कंपनीच्या एक्सपोर्ट ट्रॅफिकमधून सामान्य ऍप्लिकेशन्सचे नेटवर्क ट्रॅफिक वगळून, उर्वरित रहदारी थोड्या प्रमाणात असेल, जे मालवेअर विश्लेषण आणि अलार्मसाठी चांगले आहे.
माझ्या अनुभवावर आधारित, विद्यमान सामान्यतः वापरल्या जाणाऱ्या अनुप्रयोगांचे त्यांच्या कार्यांनुसार वर्गीकरण केले जाते:
ता.क.: अर्ज वर्गीकरणाच्या वैयक्तिक समजुतीनुसार, तुमच्याकडे कोणत्याही चांगल्या सूचना असल्यास संदेशाचा प्रस्ताव सोडण्याचे स्वागत आहे
1).ई-मेल
2).व्हिडिओ
3).खेळ
4).ऑफिस OA वर्ग
५).सॉफ्टवेअर अपडेट
६).आर्थिक (बँक, Alipay)
7).साठा
8).सोशल कम्युनिकेशन (IM सॉफ्टवेअर)
9).वेब ब्राउझिंग (कदाचित URL सह चांगले ओळखले जाऊ शकते)
10).डाउनलोड साधने (वेब डिस्क, P2P डाउनलोड, BT संबंधित)
मग, एनपीबीमध्ये डीपीआय (डीप पॅकेट तपासणी) कसे कार्य करते:
1).पॅकेट कॅप्चर: NPB स्विच, राउटर किंवा टॅप यांसारख्या विविध स्त्रोतांकडून नेटवर्क ट्रॅफिक कॅप्चर करते.हे नेटवर्कमधून वाहणारी पॅकेट प्राप्त करते.
2).पॅकेट पार्सिंग: कॅप्चर केलेले पॅकेट विविध प्रोटोकॉल स्तर आणि संबंधित डेटा काढण्यासाठी NPB द्वारे पार्स केले जातात.ही पार्सिंग प्रक्रिया पॅकेटमधील विविध घटक ओळखण्यात मदत करते, जसे की इथरनेट शीर्षलेख, IP शीर्षलेख, वाहतूक स्तर शीर्षलेख (उदा., TCP किंवा UDP), आणि अनुप्रयोग स्तर प्रोटोकॉल.
3).पेलोड विश्लेषण: DPI सह, NPB हेडर तपासणीच्या पलीकडे जाते आणि पॅकेटमधील वास्तविक डेटासह पेलोडवर लक्ष केंद्रित करते.हे संबंधित माहिती काढण्यासाठी वापरलेल्या अनुप्रयोग किंवा प्रोटोकॉलची पर्वा न करता, पेलोड सामग्रीचे सखोल परीक्षण करते.
4).प्रोटोकॉल आयडेंटिफिकेशन: DPI NPB ला नेटवर्क ट्रॅफिकमध्ये वापरले जाणारे विशिष्ट प्रोटोकॉल आणि अनुप्रयोग ओळखण्यास सक्षम करते.हे HTTP, FTP, SMTP, DNS, VoIP किंवा व्हिडिओ स्ट्रीमिंग प्रोटोकॉल सारखे प्रोटोकॉल शोधू आणि वर्गीकृत करू शकते.
५).सामग्री तपासणी: डीपीआय NPB ला विशिष्ट नमुने, स्वाक्षरी किंवा कीवर्डसाठी पॅकेटच्या सामग्रीची तपासणी करण्यास परवानगी देते.हे नेटवर्क धोक्यांचा शोध सक्षम करते, जसे की मालवेअर, व्हायरस, घुसखोरीचे प्रयत्न किंवा संशयास्पद क्रियाकलाप.डीपीआय सामग्री फिल्टरिंग, नेटवर्क धोरणांची अंमलबजावणी किंवा डेटा अनुपालन उल्लंघन ओळखण्यासाठी देखील वापरले जाऊ शकते.
६).मेटाडेटा एक्स्ट्रॅक्शन: DPI दरम्यान, NPB पॅकेट्समधून संबंधित मेटाडेटा काढतो.यामध्ये स्त्रोत आणि गंतव्य IP पत्ते, पोर्ट क्रमांक, सत्र तपशील, व्यवहार डेटा किंवा इतर कोणत्याही संबंधित विशेषता यासारख्या माहितीचा समावेश असू शकतो.
7).ट्रॅफिक रूटिंग किंवा फिल्टरिंग: डीपीआय विश्लेषणाच्या आधारे, एनपीबी पुढील प्रक्रियेसाठी विशिष्ट पॅकेट्स, जसे की सुरक्षा उपकरणे, देखरेख साधने किंवा विश्लेषण प्लॅटफॉर्म नियुक्त केलेल्या गंतव्यस्थानांवर रूट करू शकते.ओळखलेल्या सामग्री किंवा नमुन्यांवर आधारित पॅकेट टाकून देण्यासाठी किंवा पुनर्निर्देशित करण्यासाठी ते फिल्टरिंग नियम देखील लागू करू शकते.
पोस्ट वेळ: जून-25-2023
