فحص الحزم العميق ((DPI)هي تقنية تُستخدم في وسطاء حزم الشبكة (NPBs) لفحص وتحليل محتويات حزم الشبكة بدقة متناهية. تتضمن هذه التقنية فحص الحمولة، والرؤوس، وغيرها من المعلومات الخاصة بالبروتوكول داخل الحزم للحصول على رؤى تفصيلية حول حركة مرور الشبكة.
يتجاوز فحص الحزم العميق (DPI) مجرد تحليل رؤوس الحزم، إذ يوفر فهمًا معمقًا للبيانات المتدفقة عبر الشبكة. ويتيح فحصًا دقيقًا لبروتوكولات طبقة التطبيق، مثل HTTP وFTP وSMTP وVoIP وبروتوكولات بث الفيديو. ومن خلال فحص المحتوى الفعلي داخل الحزم، يستطيع فحص الحزم العميق اكتشاف وتحديد تطبيقات أو بروتوكولات أو حتى أنماط بيانات محددة.
بالإضافة إلى التحليل الهرمي لعناوين المصدر والوجهة، ومنافذ المصدر والوجهة، وأنواع البروتوكولات، يُضيف فحص الحزم العميق (DPI) تحليلًا لطبقة التطبيق لتحديد مختلف التطبيقات ومحتوياتها. فعندما تتدفق بيانات حزمة 1P أو TCP أو UDP عبر نظام إدارة النطاق الترددي القائم على تقنية DPI، يقرأ النظام محتوى حزمة 1P لإعادة تنظيم معلومات طبقة التطبيق في بروتوكول الطبقة السابعة من نموذج OSI، وذلك للحصول على محتوى برنامج التطبيق بالكامل، ثم يُشكّل حركة البيانات وفقًا لسياسة الإدارة المُحددة من قِبل النظام.
كيف تعمل تقنية DPI؟
غالبًا ما تفتقر جدران الحماية التقليدية إلى القدرة الحاسوبية اللازمة لإجراء فحوصات شاملة وفورية على كميات كبيرة من البيانات. ومع تطور التكنولوجيا، يُمكن استخدام فحص الحزم العميق (DPI) لإجراء فحوصات أكثر تعقيدًا للتحقق من رؤوس الحزم وبياناتها. وعادةً ما تستخدم جدران الحماية المزودة بأنظمة كشف التسلل تقنية فحص الحزم العميق. في عالمٍ تُعد فيه المعلومات الرقمية ذات أهمية قصوى، تُنقل كل معلومة رقمية عبر الإنترنت في حزم صغيرة. ويشمل ذلك البريد الإلكتروني، والرسائل المُرسلة عبر التطبيقات، والمواقع الإلكترونية التي تمت زيارتها، ومحادثات الفيديو، وغيرها. بالإضافة إلى البيانات الفعلية، تتضمن هذه الحزم بيانات وصفية تُحدد مصدر البيانات ومحتواها ووجهتها، وغيرها من المعلومات المهمة. وبفضل تقنية تصفية الحزم، يُمكن مراقبة البيانات وإدارتها باستمرار لضمان توجيهها إلى المكان الصحيح. ولكن لضمان أمن الشبكة، فإن تصفية الحزم التقليدية غير كافية. فيما يلي بعض الطرق الرئيسية لفحص الحزم العميق في إدارة الشبكات:
وضع المطابقة/التوقيع
يقوم جدار الحماية المزود بنظام كشف التسلل (IDS) بفحص كل حزمة بيانات للتأكد من مطابقتها لقاعدة بيانات الهجمات الشبكية المعروفة. يبحث نظام كشف التسلل عن أنماط خبيثة محددة معروفة، ويعطل حركة البيانات عند اكتشافها. لكن يعيب سياسة مطابقة التوقيعات أنها لا تُطبق إلا على التوقيعات التي يتم تحديثها باستمرار. إضافةً إلى ذلك، لا تستطيع هذه التقنية الحماية إلا من التهديدات أو الهجمات المعروفة.
استثناء البروتوكول
بما أن تقنية استثناء البروتوكول لا تسمح ببساطة بجميع البيانات التي لا تتطابق مع قاعدة بيانات التوقيعات، فإن تقنية استثناء البروتوكول التي يستخدمها جدار حماية نظام كشف التسلل (IDS) لا تعاني من العيوب الكامنة في طريقة مطابقة الأنماط/التوقيعات. بدلاً من ذلك، فهي تعتمد سياسة الرفض الافتراضية. وبحسب تعريف البروتوكول، تحدد جدران الحماية حركة البيانات المسموح بها وتحمي الشبكة من التهديدات غير المعروفة.
نظام منع الاختراق (IPS)
تستطيع حلول منع الاختراق (IPS) حظر إرسال الحزم الضارة بناءً على محتواها، وبالتالي إيقاف الهجمات المشتبه بها في الوقت الفعلي. وهذا يعني أنه إذا مثّلت حزمة ما خطرًا أمنيًا معروفًا، فسيقوم نظام منع الاختراق (IPS) بحظر حركة مرور الشبكة بشكل استباقي وفقًا لمجموعة محددة من القواعد. من عيوب نظام منع الاختراق (IPS) الحاجة إلى تحديث قاعدة بيانات التهديدات الإلكترونية بانتظام بتفاصيل حول التهديدات الجديدة، واحتمالية وجود إنذارات خاطئة. ولكن يمكن التخفيف من هذا الخطر من خلال وضع سياسات متحفظة وعتبات مخصصة، وتحديد سلوك أساسي مناسب لمكونات الشبكة، وتقييم التحذيرات والأحداث المبلغ عنها دوريًا لتحسين المراقبة والتنبيه.
1- فحص الحزم العميق (DPI) في وسيط حزم الشبكة
يُقصد بـ "التحليل العميق" مقارنة تحليل الحزم العادية بتحليل الحزم على مستوى الطبقات، بينما يقتصر "الفحص العادي للحزم" على تحليل طبقات حزمة IP الأربع، بما في ذلك عنوان المصدر، وعنوان الوجهة، ومنفذ المصدر، ومنفذ الوجهة، ونوع البروتوكول. أما "الفحص العميق للحزم" فيُضاف إلى التحليل الهرمي، كما يُضاف تحليل طبقة التطبيق، لتحديد التطبيقات والمحتوى المختلف، وذلك لتحقيق الوظائف الرئيسية.
1) تحليل التطبيقات - تحليل تكوين حركة مرور الشبكة، وتحليل الأداء، وتحليل التدفق
2) تحليل المستخدم - تمييز مجموعات المستخدمين، وتحليل السلوك، وتحليل الأجهزة الطرفية، وتحليل الاتجاهات، وما إلى ذلك.
3) تحليل عناصر الشبكة - تحليل يعتمد على الخصائص الإقليمية (المدينة، الحي، الشارع، إلخ) وحمل محطة القاعدة
4) التحكم في حركة المرور - تحديد سرعة P2P، وضمان جودة الخدمة، وضمان عرض النطاق الترددي، وتحسين موارد الشبكة، وما إلى ذلك.
5) ضمان الأمن - هجمات DDoS، وعواصف بث البيانات، ومنع هجمات الفيروسات الخبيثة، وما إلى ذلك.
2- التصنيف العام لتطبيقات الشبكة
يوجد اليوم عدد لا يحصى من التطبيقات على الإنترنت، ولكن تطبيقات الويب الشائعة قد تكون شاملة.
حسب علمي، تُعدّ هواوي أفضل شركة في مجال التعرّف على التطبيقات، إذ تدّعي قدرتها على التعرّف على 4000 تطبيق. يُعدّ تحليل البروتوكولات وحدةً أساسيةً في العديد من شركات جدران الحماية (مثل هواوي وزد تي إي)، وهو وحدةٌ بالغة الأهمية، إذ يدعم تنفيذ الوحدات الوظيفية الأخرى، ويضمن التعرّف الدقيق على التطبيقات، ويُحسّن بشكلٍ كبير أداء المنتجات وموثوقيتها. في نمذجة التعرّف على البرامج الضارة بناءً على خصائص حركة مرور الشبكة، كما أفعل حاليًا، يُعدّ التعرّف الدقيق والشامل على البروتوكولات أمرًا بالغ الأهمية. باستبعاد حركة مرور الشبكة للتطبيقات الشائعة من حركة مرور الشركة المُصدّرة، ستُمثّل حركة المرور المتبقية نسبةً صغيرةً، ما يُحسّن تحليل البرامج الضارة والإنذار المبكر.
بناءً على خبرتي، يتم تصنيف التطبيقات الشائعة الاستخدام الحالية وفقًا لوظائفها:
ملاحظة: بناءً على فهمي الشخصي لتصنيف التطبيقات، إذا كانت لديكم أي اقتراحات جيدة، يُرجى ترك رسالة تتضمن اقتراحكم.
1) البريد الإلكتروني
2) فيديو
3). الألعاب
4). فئة مكتب OA
5) تحديث البرنامج
6) الخدمات المالية (البنك، أليباي)
7) الأسهم
8) التواصل الاجتماعي (برامج المراسلة الفورية)
9) تصفح الإنترنت (ربما يكون من الأنسب تعريفه بعناوين المواقع الإلكترونية URL)
10) أدوات التنزيل (قرص الويب، تنزيل P2P، ما يتعلق بتقنية البلوتوث)
ثم، كيف يعمل فحص الحزم العميق (DPI) في NPB:
1) التقاط الحزم: يقوم جهاز NPB بالتقاط حركة مرور الشبكة من مصادر مختلفة، مثل المحولات والموجهات وأجهزة التنصت. ويستقبل الحزم المتدفقة عبر الشبكة.
٢) تحليل الحزم: يقوم جهاز تحليل الحزم (NPB) بتحليل الحزم الملتقطة لاستخراج طبقات البروتوكول المختلفة والبيانات المرتبطة بها. تساعد عملية التحليل هذه في تحديد المكونات المختلفة داخل الحزم، مثل رؤوس إيثرنت، ورؤوس بروتوكول الإنترنت (IP)، ورؤوس طبقة النقل (مثل TCP أو UDP)، وبروتوكولات طبقة التطبيق.
3) تحليل الحمولة: باستخدام تقنية فحص الحزم العميق (DPI)، يتجاوز فحص NPB فحص رأس الحزمة ويركز على الحمولة، بما في ذلك البيانات الفعلية داخل الحزم. يقوم بفحص محتوى الحمولة بعمق، بغض النظر عن التطبيق أو البروتوكول المستخدم، لاستخراج المعلومات ذات الصلة.
4) تحديد البروتوكول: تُمكّن تقنية فحص الحزم العميق (DPI) جهاز مراقبة الشبكة (NPB) من تحديد البروتوكولات والتطبيقات المستخدمة في حركة مرور الشبكة. ويمكنها اكتشاف وتصنيف بروتوكولات مثل HTTP وFTP وSMTP وDNS وVoIP وبروتوكولات بث الفيديو.
5) فحص المحتوى: يسمح فحص الحزم العميق (DPI) لهيئة مراقبة الشبكة (NPB) بفحص محتوى الحزم بحثًا عن أنماط أو توقيعات أو كلمات مفتاحية محددة. وهذا يمكّن من اكتشاف التهديدات الشبكية، مثل البرامج الضارة والفيروسات ومحاولات الاختراق والأنشطة المشبوهة. كما يمكن استخدام فحص الحزم العميق لتصفية المحتوى، وتطبيق سياسات الشبكة، وتحديد انتهاكات الامتثال للبيانات.
6) استخراج البيانات الوصفية: أثناء عملية فحص الحزم العميق (DPI)، يستخرج جهاز NPB البيانات الوصفية ذات الصلة من الحزم. قد تشمل هذه البيانات معلومات مثل عناوين IP المصدر والوجهة، وأرقام المنافذ، وتفاصيل الجلسة، وبيانات المعاملات، أو أي سمات أخرى ذات صلة.
7) توجيه حركة البيانات أو تصفيتها: بناءً على تحليل فحص الحزم العميق (DPI)، يمكن لـ NPB توجيه حزم بيانات محددة إلى وجهات معينة لمزيد من المعالجة، مثل أجهزة الأمان، أو أدوات المراقبة، أو منصات التحليلات. كما يمكنه تطبيق قواعد تصفية لحذف الحزم أو إعادة توجيهها بناءً على المحتوى أو الأنماط المحددة.
تاريخ النشر: 25 يونيو 2023
