تعريف تطبيق وسيط حزم الشبكة استنادًا إلى DPI - الفحص العميق للحزم

التفتيش العميق للحزم (نقطة لكل بوصة)هي تقنية مستخدمة في Network Packet Brokers (NPBs) لفحص وتحليل محتويات حزم الشبكة على المستوى الدقيق. يتضمن فحص الحمولة والرؤوس والمعلومات الأخرى الخاصة بالبروتوكول داخل الحزم للحصول على رؤى تفصيلية حول حركة مرور الشبكة.

يتجاوز DPI تحليل الرأس البسيط ويوفر فهمًا عميقًا للبيانات المتدفقة عبر الشبكة. فهو يسمح بإجراء فحص متعمق لبروتوكولات طبقة التطبيق، مثل HTTP، أو FTP، أو SMTP، أو VoIP، أو بروتوكولات بث الفيديو. من خلال فحص المحتوى الفعلي داخل الحزم، يمكن لـ DPI اكتشاف وتحديد تطبيقات أو بروتوكولات معينة أو حتى أنماط بيانات محددة.

بالإضافة إلى التحليل الهرمي لعناوين المصدر وعناوين الوجهة ومنافذ المصدر ومنافذ الوجهة وأنواع البروتوكولات، تضيف DPI أيضًا تحليل طبقة التطبيق لتحديد التطبيقات المختلفة ومحتوياتها. عندما تتدفق حزمة 1P أو بيانات TCP أو UDP عبر نظام إدارة النطاق الترددي استنادًا إلى تقنية DPI، يقرأ النظام محتوى تحميل حزمة 1P لإعادة تنظيم معلومات طبقة التطبيق في بروتوكول OSI Layer 7، وذلك للحصول على محتوى برنامج التطبيق بأكمله، ثم تشكيل حركة المرور وفقًا لسياسة الإدارة التي يحددها النظام.

كيف تعمل إدارة شؤون الإعلام؟

غالبًا ما تفتقر جدران الحماية التقليدية إلى قوة المعالجة اللازمة لإجراء فحوصات شاملة في الوقت الفعلي على كميات كبيرة من حركة المرور. مع تقدم التكنولوجيا، يمكن استخدام DPI لإجراء عمليات فحص أكثر تعقيدًا للتحقق من الرؤوس والبيانات. عادةً ما تستخدم جدران الحماية المزودة بأنظمة كشف التسلل تقنية DPI. في عالم تعتبر فيه المعلومات الرقمية ذات أهمية قصوى، يتم تسليم كل جزء من المعلومات الرقمية عبر الإنترنت في حزم صغيرة. يتضمن ذلك البريد الإلكتروني والرسائل المرسلة عبر التطبيق ومواقع الويب التي تمت زيارتها ومحادثات الفيديو والمزيد. بالإضافة إلى البيانات الفعلية، تتضمن هذه الحزم بيانات وصفية تحدد مصدر حركة المرور والمحتوى والوجهة والمعلومات المهمة الأخرى. باستخدام تقنية تصفية الحزم، يمكن مراقبة البيانات وإدارتها بشكل مستمر لضمان إرسالها إلى المكان الصحيح. ولكن لضمان أمن الشبكة، فإن تصفية الحزم التقليدية ليست كافية على الإطلاق. فيما يلي بعض الطرق الرئيسية للفحص العميق للحزم في إدارة الشبكة:

وضع المطابقة/التوقيع

يتم فحص كل حزمة بحثًا عن تطابقها مع قاعدة بيانات لهجمات الشبكة المعروفة بواسطة جدار حماية مزود بقدرات نظام كشف التسلل (IDS). يبحث IDS عن أنماط محددة ضارة معروفة ويعطل حركة المرور عند العثور على أنماط ضارة. عيب سياسة مطابقة التوقيع هو أنها تنطبق فقط على التوقيعات التي يتم تحديثها بشكل متكرر. بالإضافة إلى ذلك، لا يمكن لهذه التقنية الدفاع إلا ضد التهديدات أو الهجمات المعروفة.

إدارة شؤون الإعلام

استثناء البروتوكول

نظرًا لأن تقنية استثناء البروتوكول لا تسمح ببساطة بجميع البيانات التي لا تتطابق مع قاعدة بيانات التوقيع، فإن تقنية استثناء البروتوكول التي يستخدمها جدار الحماية IDS لا تحتوي على العيوب الكامنة في طريقة مطابقة النمط/التوقيع. وبدلاً من ذلك، فإنه يعتمد سياسة الرفض الافتراضية. من خلال تعريف البروتوكول، تحدد جدران الحماية حركة المرور التي يجب السماح بها وتحمي الشبكة من التهديدات غير المعروفة.

نظام منع التسلل (IPS)

يمكن لحلول IPS منع نقل الحزم الضارة بناءً على محتواها، وبالتالي إيقاف الهجمات المشتبه بها في الوقت الفعلي. وهذا يعني أنه إذا كانت الحزمة تمثل خطرًا أمنيًا معروفًا، فسوف يقوم IPS بحظر حركة مرور الشبكة بشكل استباقي بناءً على مجموعة محددة من القواعد. أحد عيوب IPS هو الحاجة إلى تحديث قاعدة بيانات التهديدات السيبرانية بانتظام بتفاصيل حول التهديدات الجديدة وإمكانية النتائج الإيجابية الكاذبة. ولكن يمكن التخفيف من هذا الخطر من خلال إنشاء سياسات متحفظة وعتبات مخصصة، وإنشاء سلوك أساسي مناسب لمكونات الشبكة، وتقييم التحذيرات والأحداث المبلغ عنها بشكل دوري لتعزيز المراقبة والتنبيه.

1- DPI (الفحص العميق للحزم) في Network Packet Broker

"العميق" هو ​​مقارنة تحليل الحزمة العادية والعادية، "فحص الحزمة العادية" فقط التحليل التالي لطبقة حزمة IP 4، بما في ذلك عنوان المصدر وعنوان الوجهة ومنفذ المصدر ومنفذ الوجهة ونوع البروتوكول وDPI باستثناء التسلسل الهرمي التحليل، كما زاد من تحليل طبقة التطبيق، وتحديد مختلف التطبيقات والمحتوى، لتحقيق الوظائف الرئيسية:

1) تحليل التطبيقات - تحليل تكوين حركة مرور الشبكة، وتحليل الأداء، وتحليل التدفق

2) تحليل المستخدم - تمايز مجموعة المستخدمين، وتحليل السلوك، والتحليل النهائي، وتحليل الاتجاه، وما إلى ذلك.

3) تحليل عناصر الشبكة - تحليل يعتمد على السمات الإقليمية (المدينة، المنطقة، الشارع، إلخ) وتحميل المحطة الأساسية

4) التحكم في حركة المرور - تحديد سرعة P2P، وضمان جودة الخدمة، وضمان عرض النطاق الترددي، وتحسين موارد الشبكة، وما إلى ذلك.

5) ضمان الأمان - هجمات DDoS، وعاصفة بث البيانات، ومنع هجمات الفيروسات الضارة، وما إلى ذلك.

2- التصنيف العام لتطبيقات الشبكات

يوجد اليوم عدد لا يحصى من التطبيقات على الإنترنت، لكن تطبيقات الويب الشائعة يمكن أن تكون شاملة.

على حد علمي، أفضل شركة للتعرف على التطبيقات هي شركة Huawei، التي تدعي أنها تتعرف على 4000 تطبيق. يعد تحليل البروتوكول الوحدة الأساسية للعديد من شركات جدار الحماية (Huawei وZTE وما إلى ذلك)، كما أنه وحدة مهمة جدًا تدعم تحقيق الوحدات الوظيفية الأخرى والتحديد الدقيق للتطبيقات وتحسين أداء وموثوقية المنتجات بشكل كبير. في نمذجة تعريف البرامج الضارة استنادًا إلى خصائص حركة مرور الشبكة، كما أفعل الآن، يعد التحديد الدقيق والشامل للبروتوكول أمرًا مهمًا أيضًا. باستثناء حركة مرور الشبكة للتطبيقات الشائعة من حركة تصدير الشركة، ستمثل حركة المرور المتبقية نسبة صغيرة، وهو أفضل لتحليل البرامج الضارة والإنذار.

بناءً على تجربتي، تم تصنيف التطبيقات الشائعة الاستخدام الموجودة وفقًا لوظائفها:

ملاحظة: وفقًا للفهم الشخصي لتصنيف التطبيق، لديك أي اقتراحات جيدة مرحب بها لترك اقتراح رسالة

1). بريد إلكتروني

2). فيديو

3). ألعاب

4). فئة المكتب OA

5). تحديث البرنامج

6). المالية (البنك، Alipay)

7). الأسهم

8). التواصل الاجتماعي (برامج المراسلة الفورية)

9). تصفح الويب (ربما يتم تحديده بشكل أفضل باستخدام عناوين URL)

10). أدوات التنزيل (قرص الويب، تنزيل P2P، ما يتعلق بـ BT)

20191210153150_32811

ثم، كيف يعمل DPI (الفحص العميق للحزم) في NPB:

1). التقاط الحزم: يلتقط NPB حركة مرور الشبكة من مصادر مختلفة، مثل المحولات أو أجهزة التوجيه أو الصنابير. يتلقى الحزم المتدفقة عبر الشبكة.

2). تحليل الحزم: يتم تحليل الحزم الملتقطة بواسطة NPB لاستخراج طبقات البروتوكول المختلفة والبيانات المرتبطة بها. تساعد عملية التحليل هذه في تحديد المكونات المختلفة داخل الحزم، مثل رؤوس Ethernet، ورؤوس IP، ورؤوس طبقة النقل (على سبيل المثال، TCP أو UDP)، وبروتوكولات طبقة التطبيق.

3). تحليل الحمولة: مع DPI، يتجاوز NPB فحص الرأس ويركز على الحمولة، بما في ذلك البيانات الفعلية داخل الحزم. فهو يفحص محتوى الحمولة بشكل متعمق، بغض النظر عن التطبيق أو البروتوكول المستخدم، لاستخراج المعلومات ذات الصلة.

4). تعريف البروتوكول: تمكن DPI NPB من تحديد البروتوكولات والتطبيقات المحددة المستخدمة ضمن حركة مرور الشبكة. يمكنه اكتشاف وتصنيف البروتوكولات مثل HTTP، أو FTP، أو SMTP، أو DNS، أو VoIP، أو بروتوكولات بث الفيديو.

5). فحص المحتوى: تسمح DPI لـ NPB بفحص محتوى الحزم بحثًا عن أنماط أو توقيعات أو كلمات رئيسية محددة. يتيح ذلك اكتشاف تهديدات الشبكة، مثل البرامج الضارة أو الفيروسات أو محاولات التسلل أو الأنشطة المشبوهة. يمكن أيضًا استخدام DPI لتصفية المحتوى أو فرض سياسات الشبكة أو تحديد انتهاكات امتثال البيانات.

6). استخراج البيانات التعريفية: أثناء DPI، يستخرج NPB البيانات التعريفية ذات الصلة من الحزم. يمكن أن يتضمن ذلك معلومات مثل عناوين IP المصدر والوجهة، أو أرقام المنافذ، أو تفاصيل الجلسة، أو بيانات المعاملات، أو أي سمات أخرى ذات صلة.

7). توجيه حركة المرور أو تصفيتها: استنادًا إلى تحليل DPI، يمكن لـ NPB توجيه حزم معينة إلى وجهات محددة لمزيد من المعالجة، مثل أجهزة الأمان أو أدوات المراقبة أو منصات التحليلات. ويمكنه أيضًا تطبيق قواعد التصفية لتجاهل الحزم أو إعادة توجيهها بناءً على المحتوى أو الأنماط المحددة.

مل-NPB-5660 3D


وقت النشر: 25 يونيو 2023