Inspection profonde des paquets (Dpi)est une technologie utilisée dans les courtiers de paquets de réseau (NPBS) pour inspecter et analyser le contenu des paquets de réseau à un niveau granulaire. Il s'agit d'examiner la charge utile, les en-têtes et autres informations spécifiques au protocole dans les paquets pour obtenir des informations détaillées sur le trafic réseau.
DPI va au-delà de l'analyse des en-tête simples et fournit une compréhension approfondie des données qui traversent un réseau. Il permet une inspection approfondie des protocoles de couche d'application, tels que les protocoles HTTP, FTP, SMTP, VoIP ou Streaming vidéo. En examinant le contenu réel dans les paquets, DPI peut détecter et identifier des applications spécifiques, des protocoles ou même des modèles de données spécifiques.
En plus de l'analyse hiérarchique des adresses source, des adresses de destination, des ports source, des ports de destination et des types de protocole, DPI ajoute également une analyse de la couche d'application pour identifier diverses applications et leur contenu. Lorsque le paquet 1P, les données TCP ou UDP traversent le système de gestion de la bande passante basé sur la technologie DPI, le système lit le contenu de la charge de paquet 1P pour réorganiser les informations de couche d'application dans le protocole OSI Layer 7, afin d'obtenir le contenu de l'ensemble du programme d'application, puis de façonner le trafic en fonction de la stratégie de gestion définie par le système.
Comment fonctionne DPI?
Les pare-feu traditionnels manquent souvent de puissance de traitement pour effectuer des vérifications approfondies en temps réel sur de grands volumes de trafic. À mesure que la technologie progresse, DPI peut être utilisé pour effectuer des vérifications plus complexes pour vérifier les en-têtes et les données. En règle générale, les pare-feu avec des systèmes de détection d'intrusion utilisent souvent DPI. Dans un monde où les informations numériques sont primordiales, chaque élément d'information numérique est livré sur Internet dans de petits paquets. Cela inclut les e-mails, les messages envoyés via l'application, les sites Web visités, les conversations vidéo, etc. En plus des données réelles, ces paquets comprennent des métadonnées qui identifient la source de trafic, le contenu, la destination et d'autres informations importantes. Avec la technologie de filtrage des paquets, les données peuvent être surveillées en permanence et gérées pour s'assurer qu'elle est transmise au bon endroit. Mais pour assurer la sécurité du réseau, le filtrage traditionnel des paquets est loin d'être suffisant. Certaines des principales méthodes d'inspection profonde des paquets dans la gestion du réseau sont répertoriées ci-dessous:
Mode correspondant / signature
Chaque paquet est vérifié pour une correspondance par rapport à une base de données d'attaques de réseau connues par un pare-feu avec des capacités du système de détection d'intrusion (IDS). IDS recherche des modèles spécifiques malveillants connus et désactive le trafic lorsque des motifs malveillants sont trouvés. L'inconvénient de la politique de correspondance de signature est qu'elle ne s'applique qu'aux signatures qui sont mises à jour fréquemment. De plus, cette technologie ne peut se défendre que contre les menaces ou les attaques connues.
Exception de protocole
Étant donné que la technique d'exception du protocole n'autorise pas simplement toutes les données qui ne correspondent pas à la base de données de signature, la technique d'exception du protocole utilisée par le pare-feu IDS n'a pas les défauts inhérents de la méthode de correspondance de motif / signature. Au lieu de cela, il adopte la politique de rejet par défaut. Selon la définition du protocole, les pare-feu décident de ce que le trafic doit être autorisé et protège le réseau contre les menaces inconnues.
Système de prévention des intrusions (IPS)
Les solutions IPS peuvent bloquer la transmission de paquets nocifs en fonction de leur contenu, arrêtant ainsi les attaques suspectées en temps réel. Cela signifie que si un paquet représente un risque de sécurité connu, IPS bloquera de manière proactive le trafic réseau basé sur un ensemble de règles défini. Un inconvénient des IPS est la nécessité de mettre à jour régulièrement une base de données de cyber-menaces avec des détails sur les nouvelles menaces et la possibilité de faux positifs. Mais ce danger peut être atténué en créant des politiques conservatrices et des seuils personnalisés, en établissant un comportement de base approprié pour les composants du réseau, et en évaluant périodiquement les avertissements et en événements signalés pour améliorer la surveillance et l'alerte.
1- Le DPI (inspection profonde des paquets) dans Network Packet Broker
La comparaison de l'analyse des paquets «profonde» est un niveau et ordinaire, une «inspection ordinaire des paquets» uniquement l'analyse suivante du paquet IP 4 couche, y compris l'adresse source, l'adresse de destination, le port source, le port de destination et le type de protocole, et DPI, sauf avec l'analyse hiérarchique, ont également augmenté l'analyse de la couche d'application, identifier les différentes applications et contenu, pour réaliser les fonctions principales:
1) Analyse des applications - Analyse de la composition du trafic réseau, analyse des performances et analyse des flux
2) Analyse des utilisateurs - Différenciation du groupe d'utilisateurs, analyse du comportement, analyse terminale, analyse des tendances, etc.
3) Analyse des éléments du réseau - Analyse basée sur les attributs régionaux (ville, district, rue, etc.) et chargement de la station de base
4) Contrôle du trafic - limitation de vitesse P2P, assurance QoS, assurance de bande passante, optimisation des ressources du réseau, etc.
5) Assurance de la sécurité - Attaques DDOS, tempête de diffusion de données, prévention des attaques de virus malveillantes, etc.
2- Classification générale des applications réseau
Aujourd'hui, il existe d'innombrables applications sur Internet, mais les applications Web courantes peuvent être exhaustives.
Pour autant que je sache, la meilleure société de reconnaissance des applications est Huawei, qui prétend reconnaître 4 000 applications. L'analyse du protocole est le module de base de nombreuses sociétés de pare-feu (Huawei, ZTE, etc.), et il s'agit également d'un module très important, soutenant la réalisation d'autres modules fonctionnels, une identification précise des applications et améliorant considérablement les performances et la fiabilité des produits. Dans la modélisation de l'identification des logiciels malveillants basée sur les caractéristiques du trafic réseau, comme je le fais maintenant, l'identification du protocole précise et approfondie est également très importante. À l'exclusion du trafic réseau des applications communes du trafic d'exportation de l'entreprise, le trafic restant représentera une petite proportion, ce qui est mieux pour l'analyse et l'alarme des logiciels malveillants.
Sur la base de mon expérience, les applications couramment utilisées sont classées en fonction de leurs fonctions:
PS: Selon la compréhension personnelle de la classification des applications, vous avez de bonnes suggestions bienvenue pour laisser une proposition de message
1). E-mail
2). Vidéo
3). Jeux
4). Classe OA de bureau
5). Mise à jour logicielle
6). Financière (Banque, Alipay)
7). Actions
8). Communication sociale (logiciel IM)
9). Navigation sur le Web (probablement mieux identifié avec les URL)
10). Télécharger des outils (Web disque, téléchargement P2P, lié à BT)
Ensuite, comment DPI (inspection profonde des paquets) fonctionne dans un NPB:
1). Capture de paquets: le NPB capture le trafic réseau provenant de diverses sources, telles que les commutateurs, les routeurs ou les robinets. Il reçoit des paquets qui circulent dans le réseau.
2). Analyse des paquets: les paquets capturés sont analysés par le NPB pour extraire diverses couches de protocole et les données associées. Ce processus d'analyse aide à identifier les différents composants dans les paquets, tels que les en-têtes Ethernet, les en-têtes IP, les en-têtes de couche de transport (par exemple, TCP ou UDP) et les protocoles de couche d'application.
3). Analyse de la charge utile: avec DPI, le NPB va au-delà de l'inspection de l'en-tête et se concentre sur la charge utile, y compris les données réelles dans les paquets. Il examine le contenu en charge utile en profondeur, quelle que soit l'application ou le protocole utilisé, pour extraire des informations pertinentes.
4). Identification du protocole: DPI permet au NPB d'identifier les protocoles et applications spécifiques utilisés dans le trafic réseau. Il peut détecter et classer les protocoles comme HTTP, FTP, SMTP, DNS, VOIP ou protocoles de streaming vidéo.
5). Inspection du contenu: DPI permet au NPB d'inspecter le contenu des paquets pour des modèles, des signatures ou des mots clés spécifiques. Cela permet la détection de menaces de réseau, telles que des logiciels malveillants, des virus, des tentatives d'intrusion ou des activités suspectes. DPI peut également être utilisé pour le filtrage de contenu, l'application des politiques de réseau ou l'identification des violations de la conformité des données.
6). Extraction des métadonnées: Pendant le DPI, le NPB extrait les métadonnées pertinentes des paquets. Cela peut inclure des informations telles que les adresses IP source et de destination, les numéros de port, les détails de session, les données de transaction ou tout autre attribution pertinente.
7). Routage ou filtrage du trafic: Sur la base de l'analyse DPI, le NPB peut acheminer des paquets spécifiques vers des destinations désignées pour un traitement ultérieur, telles que les appareils de sécurité, les outils de surveillance ou les plateformes d'analyse. Il peut également appliquer des règles de filtrage pour éliminer ou rediriger les paquets en fonction du contenu ou des modèles identifiés.
Heure du poste: 25-25-2023
