فحص الحزم العميق (نقطة في البوصةهي تقنية تُستخدم في وسطاء حزم الشبكة (NPBs) لفحص محتويات حزم الشبكة وتحليلها بدقة. تتضمن هذه التقنية فحص الحمولة والرؤوس والمعلومات الأخرى الخاصة بالبروتوكول داخل الحزم للحصول على رؤى تفصيلية حول حركة مرور الشبكة.
يتجاوز تحليل DPI التحليل البسيط للرؤوس، ليوفر فهمًا عميقًا للبيانات المتدفقة عبر الشبكة. فهو يسمح بفحص متعمق لبروتوكولات طبقة التطبيق، مثل HTTP وFTP وSMTP وVoIP وبروتوكولات بث الفيديو. من خلال فحص المحتوى الفعلي داخل الحزم، يمكن لـ DPI اكتشاف وتحديد تطبيقات أو بروتوكولات أو حتى أنماط بيانات محددة.
بالإضافة إلى التحليل الهرمي لعناوين المصدر والوجهة ومنافذ المصدر والوجهة وأنواع البروتوكولات، يُضيف DPI أيضًا تحليلًا لطبقة التطبيق لتحديد مختلف التطبيقات ومحتوياتها. عندما تتدفق حزمة البيانات أحادية الاتجاه (1P)، أو بيانات TCP أو UDP، عبر نظام إدارة النطاق الترددي القائم على تقنية DPI، يقرأ النظام محتوى تحميل حزمة البيانات أحادية الاتجاه لإعادة تنظيم معلومات طبقة التطبيق في بروتوكول OSI الطبقة 7، وذلك للحصول على محتوى برنامج التطبيق بأكمله، ثم يُشكل حركة المرور وفقًا لسياسة الإدارة التي يُحددها النظام.
كيف يعمل DPI؟
غالبًا ما تفتقر جدران الحماية التقليدية إلى قوة المعالجة اللازمة لإجراء فحوصات شاملة آنية على كميات كبيرة من حركة البيانات. مع تطور التكنولوجيا، يمكن استخدام فحص الحزم العميق (DPI) لإجراء فحوصات أكثر تعقيدًا للتحقق من العناوين والبيانات. عادةً، تستخدم جدران الحماية المزودة بأنظمة كشف التسلل فحص الحزم العميق (DPI). في عالم تُعدّ فيه المعلومات الرقمية بالغة الأهمية، تُنقل كل معلومة رقمية عبر الإنترنت في حزم صغيرة. يشمل ذلك البريد الإلكتروني، والرسائل المرسلة عبر التطبيق، ومواقع الويب التي تمت زيارتها، ومحادثات الفيديو، وغيرها. بالإضافة إلى البيانات الفعلية، تتضمن هذه الحزم بيانات وصفية تُحدد مصدر حركة البيانات ومحتواها ووجهتها ومعلومات مهمة أخرى. باستخدام تقنية تصفية الحزم، يُمكن مراقبة البيانات وإدارتها باستمرار لضمان توجيهها إلى المكان الصحيح. ولكن لضمان أمان الشبكة، لا تكفي تصفية الحزم التقليدية. فيما يلي بعض الطرق الرئيسية للفحص العميق للحزم في إدارة الشبكة:
وضع المطابقة/التوقيع
يتم فحص كل حزمة للتحقق من مطابقتها لقاعدة بيانات هجمات الشبكة المعروفة بواسطة جدار حماية مزود بإمكانيات نظام كشف التسلل (IDS). يبحث نظام كشف التسلل عن أنماط خبيثة محددة معروفة، ويعطل حركة المرور عند اكتشافها. عيب سياسة مطابقة التوقيعات هو أنها تنطبق فقط على التوقيعات التي تُحدّث باستمرار. بالإضافة إلى ذلك، لا تستطيع هذه التقنية الدفاع إلا ضد التهديدات أو الهجمات المعروفة.
استثناء البروتوكول
بما أن تقنية استثناء البروتوكول لا تسمح فقط بجميع البيانات التي لا تتطابق مع قاعدة بيانات التوقيع، فإن تقنية استثناء البروتوكول التي يستخدمها جدار حماية نظام كشف التسلل لا تعاني من العيوب الكامنة في طريقة مطابقة النمط/التوقيع. بل تعتمد سياسة الرفض الافتراضية. وحسب تعريف البروتوكول، تُحدد جدران الحماية حركة المرور المسموح بها وتحمي الشبكة من التهديدات المجهولة.
نظام منع التطفل (IPS)
تستطيع حلول نظام منع اختراق الشبكات (IPS) حظر إرسال الحزم الضارة بناءً على محتواها، مما يُوقف الهجمات المشتبه بها فورًا. هذا يعني أنه إذا كانت الحزمة تُمثل خطرًا أمنيًا معروفًا، فسيحظر نظام منع اختراق الشبكات (IPS) حركة مرور الشبكة استباقيًا بناءً على مجموعة محددة من القواعد. من عيوب نظام منع اختراق الشبكات (IPS) ضرورة تحديث قاعدة بيانات التهديدات السيبرانية بانتظام بتفاصيل حول التهديدات الجديدة، واحتمالية ظهور نتائج إيجابية خاطئة. ولكن يُمكن التخفيف من هذا الخطر بوضع سياسات مُحافظة وحدود مُخصصة، وتحديد سلوك أساسي مناسب لمكونات الشبكة، وتقييم التحذيرات والأحداث المُبلغ عنها دوريًا لتحسين المراقبة والتنبيه.
1- فحص الحزم العميق (DPI) في Network Packet Broker
"العميق" هو مستوى مقارنة تحليل الحزمة العادية، "فحص الحزمة العادية" فقط التحليل التالي لطبقة حزمة IP 4، بما في ذلك عنوان المصدر، عنوان الوجهة، منفذ المصدر، منفذ الوجهة ونوع البروتوكول، وDPI باستثناء التحليل الهرمي، كما زاد من تحليل طبقة التطبيق، وتحديد التطبيقات المختلفة والمحتوى، لتحقيق الوظائف الرئيسية:
1) تحليل التطبيق - تحليل تكوين حركة مرور الشبكة، وتحليل الأداء، وتحليل التدفق
2) تحليل المستخدم - التمييز بين مجموعات المستخدمين، وتحليل السلوك، والتحليل النهائي، وتحليل الاتجاهات، وما إلى ذلك.
3) تحليل عناصر الشبكة - تحليل يعتمد على السمات الإقليمية (المدينة، المنطقة، الشارع، وما إلى ذلك) وحمل المحطة الأساسية
4) التحكم في حركة المرور - الحد من سرعة P2P، وضمان جودة الخدمة، وضمان النطاق الترددي، وتحسين موارد الشبكة، وما إلى ذلك.
5) ضمان الأمان - هجمات الحرمان من الخدمة الموزعة، وعاصفة بث البيانات، ومنع هجمات الفيروسات الضارة، وما إلى ذلك.
2- التصنيف العام لتطبيقات الشبكات
توجد اليوم تطبيقات لا حصر لها على الإنترنت، ولكن تطبيقات الويب الشائعة قد تكون شاملة.
على حد علمي، أفضل شركة للتعرف على التطبيقات هي هواوي، التي تزعم أنها تتعرف على 4000 تطبيق. يُعد تحليل البروتوكول الوحدة الأساسية للعديد من شركات جدران الحماية (مثل هواوي وZTE وغيرهما)، وهو أيضًا وحدة بالغة الأهمية، إذ يدعم تنفيذ وحدات وظيفية أخرى، والتعرف الدقيق على التطبيقات، ويحسّن أداء المنتجات وموثوقيتها بشكل كبير. في نمذجة التعرف على البرامج الضارة بناءً على خصائص حركة مرور الشبكة، كما أفعل الآن، يُعدّ التعرف الدقيق والشامل على البروتوكول أمرًا بالغ الأهمية أيضًا. باستثناء حركة مرور شبكة التطبيقات الشائعة من حركة مرور تصدير الشركة، ستشكل الحركة المتبقية نسبة صغيرة، وهو ما يُحسّن تحليل البرامج الضارة والإنذار بها.
بناءً على تجربتي، يتم تصنيف التطبيقات الشائعة الاستخدام وفقًا لوظائفها:
ملاحظة: وفقًا لفهمك الشخصي لتصنيف التطبيق، إذا كان لديك أي اقتراحات جيدة، فيرجى ترك رسالة اقتراح.
1) البريد الإلكتروني
2) فيديو
3) الألعاب
4). فئة الوصول المفتوح للمكتب
5) تحديث البرنامج
6) الخدمات المالية (البنك، Alipay)
7) الأسهم
8) التواصل الاجتماعي (برامج المراسلة الفورية)
9) تصفح الويب (ربما يكون من الأفضل التعرف عليه من خلال عناوين URL)
١٠) أدوات التنزيل (قرص الويب، تنزيل P2P، أدوات متعلقة بـ BT)
ثم، كيف يعمل DPI (فحص الحزمة العميقة) في NPB:
١) التقاط الحزم: يلتقط NPB حركة مرور الشبكة من مصادر مختلفة، مثل المحولات، وأجهزة التوجيه، أو نقاط البيع. ويستقبل الحزم المتدفقة عبر الشبكة.
٢) تحليل الحزم: يقوم NPB بتحليل الحزم المُلتقطة لاستخراج طبقات البروتوكول المختلفة والبيانات المرتبطة بها. تساعد عملية التحليل هذه على تحديد المكونات المختلفة داخل الحزم، مثل رؤوس Ethernet، ورؤوس IP، ورؤوس طبقة النقل (مثل TCP أو UDP)، وبروتوكولات طبقة التطبيق.
٣) تحليل الحمولة: باستخدام DPI، يتجاوز NPB فحص الرأس، ويركز على الحمولة، بما في ذلك البيانات الفعلية داخل الحزم. يفحص محتوى الحمولة بدقة، بغض النظر عن التطبيق أو البروتوكول المستخدم، لاستخراج المعلومات ذات الصلة.
٤) تحديد البروتوكول: يُمكّن DPI جهاز NPB من تحديد البروتوكولات والتطبيقات المُستخدمة في حركة مرور الشبكة. كما يُمكنه اكتشاف وتصنيف بروتوكولات مثل HTTP، وFTP، وSMTP، وDNS، وVoIP، أو بروتوكولات بث الفيديو.
٥) فحص المحتوى: يسمح فحص DPI لـ NPB بفحص محتوى الحزم بحثًا عن أنماط أو توقيعات أو كلمات رئيسية محددة. يتيح ذلك اكتشاف تهديدات الشبكة، مثل البرامج الضارة والفيروسات ومحاولات الاختراق والأنشطة المشبوهة. كما يمكن استخدام فحص DPI لتصفية المحتوى، وتطبيق سياسات الشبكة، أو تحديد انتهاكات امتثال البيانات.
٦) استخراج البيانات الوصفية: أثناء عملية DPI، يستخرج NPB البيانات الوصفية ذات الصلة من الحزم. يمكن أن تشمل هذه المعلومات معلومات مثل عناوين IP للمصدر والوجهة، وأرقام المنافذ، وتفاصيل الجلسة، وبيانات المعاملات، أو أي سمات أخرى ذات صلة.
٧) توجيه أو تصفية حركة المرور: بناءً على تحليل DPI، يُمكن لـ NPB توجيه حزم مُحددة إلى وجهات مُحددة لمزيد من المعالجة، مثل أجهزة الأمان، أو أدوات المراقبة، أو منصات التحليلات. كما يُمكنه تطبيق قواعد تصفية لتجاهل أو إعادة توجيه الحزم بناءً على المحتوى أو الأنماط المُحددة.
وقت النشر: ٢٥ يونيو ٢٠٢٣
