تفتيش حزمة عميق (DPI)هي تقنية تستخدم في وسطاء حزم الشبكات (NPBS) لتفقد وتحليل محتويات حزم الشبكة على مستوى محبب. يتضمن فحص الحمولة الصافية والرؤوس والمعلومات الأخرى الخاصة بالبروتوكول داخل الحزم لاكتساب رؤى مفصلة في حركة المرور على الشبكة.
يتجاوز DPI تحليل الرأس البسيط ويوفر فهمًا عميقًا للبيانات التي تتدفق عبر الشبكة. يسمح بالتفتيش المتعمق لبروتوكولات طبقة التطبيق ، مثل بروتوكولات HTTP أو FTP أو SMTP أو VoIP أو الفيديو. من خلال فحص المحتوى الفعلي داخل الحزم ، يمكن لـ DPI اكتشاف وتحديد تطبيقات أو بروتوكولات محددة أو حتى أنماط بيانات محددة.
بالإضافة إلى التحليل الهرمي لعناوين المصدر وعناوين الوجهة ومنافذ المصدر ومنافذ الوجهة وأنواع البروتوكول ، يضيف DPI أيضًا تحليل طبقة التطبيق لتحديد التطبيقات المختلفة ومحتوياتها. عندما يتدفق حزمة 1P أو TCP أو UDP من خلال نظام إدارة عرض النطاق الترددي استنادًا إلى تقنية DPI ، يقرأ النظام محتوى تحميل حزمة 1P لإعادة تنظيم معلومات طبقة التطبيق في بروتوكول OSI Layer 7 ، وذلك للحصول على محتوى برنامج التطبيق بأكمله ، ثم تشكيل حركة المرور وفقًا لسياسة الإدارة التي تحددها النظام.
كيف يعمل DPI؟
غالبًا ما تفتقر جدران الحماية التقليدية إلى قوة المعالجة لإجراء فحوصات شاملة في الوقت الفعلي على كميات كبيرة من حركة المرور. مع تقدم التكنولوجيا ، يمكن استخدام DPI لإجراء فحوصات أكثر تعقيدًا للتحقق من الرؤوس والبيانات. عادة ، غالبًا ما تستخدم جدران الحماية مع أنظمة الكشف عن التسلل DPI. في عالم تكون فيه المعلومات الرقمية أمرًا بالغ الأهمية ، يتم تسليم كل جزء من المعلومات الرقمية عبر الإنترنت في حزم صغيرة. يتضمن ذلك البريد الإلكتروني والرسائل المرسلة من خلال التطبيق ومواقع الويب التي تمت زيارتها ومحادثات الفيديو والمزيد. بالإضافة إلى البيانات الفعلية ، تتضمن هذه الحزم بيانات بيانات تحدد مصدر حركة المرور والمحتوى والوجهة والمعلومات المهمة الأخرى. باستخدام تقنية تصفية الحزم ، يمكن مراقبة البيانات بشكل مستمر وتمكن من التأكد من توجيهها إلى المكان المناسب. ولكن لضمان أمان الشبكة ، فإن تصفية الحزم التقليدية أبعد ما يكون عن ما يكفي. فيما يلي بعض الطرق الرئيسية لفحص الحزم العميقة في إدارة الشبكة:
وضع المطابقة/التوقيع
يتم فحص كل حزمة للحصول على تطابق مقابل قاعدة بيانات لهجمات الشبكة المعروفة من قبل جدار الحماية مع إمكانات نظام الكشف عن التسلل (IDS). يبحث IDS عن أنماط محددة ضارة معروفة وتعطيل حركة المرور عند العثور على أنماط ضارة. إن عيب سياسة مطابقة التوقيع هو أنها تنطبق فقط على التوقيعات التي يتم تحديثها بشكل متكرر. بالإضافة إلى ذلك ، يمكن لهذه التكنولوجيا الدفاع فقط ضد التهديدات أو الهجمات المعروفة.
استثناء البروتوكول
نظرًا لأن تقنية استثناء البروتوكول لا تسمح ببساطة بجميع البيانات التي لا تتطابق مع قاعدة بيانات التوقيع ، فإن تقنية استثناء البروتوكول المستخدمة من قبل جدار الحماية IDS لا تحتوي على العيوب المتأصلة في طريقة مطابقة النمط/التوقيع. بدلاً من ذلك ، يعتمد سياسة الرفض الافتراضية. حسب تعريف البروتوكول ، تقرر جدران الحماية ما الذي ينبغي السماح بحركة المرور وحماية الشبكة من تهديدات غير معروفة.
نظام الوقاية من الاقتحام (IPS)
يمكن لـ IPS Solutions منع نقل الحزم الضارة بناءً على محتواها ، وبالتالي إيقاف الهجمات المشتبه بها في الوقت الفعلي. هذا يعني أنه إذا كانت الحزمة تمثل مخاطر أمان معروفة ، فإن IPS ستحظر حركة المرور بشكل استباقي على أساس مجموعة محددة من القواعد. أحد عيب IPS هو الحاجة إلى تحديث قاعدة بيانات تهديدات الإنترنت بانتظام مع تفاصيل حول التهديدات الجديدة ، وإمكانية إيجابيات كاذبة. ولكن يمكن تخفيف هذا الخطر عن طريق إنشاء سياسات محافظة وعتبات مخصصة ، وإنشاء سلوك أساسي مناسب لمكونات الشبكة ، وتقييم التحذيرات بشكل دوري والأحداث المبلغ عنها لتعزيز المراقبة والتنبيه.
1- DPI (فحص الحزمة العميقة) في وسيط حزم الشبكة
"العميق" هو مقارنة تحليل الحزم "العميقة" ، "فحص الحزم العادية" فقط التحليل التالي لطبقة حزمة IP 4 ، بما في ذلك عنوان المصدر ، وعنوان الوجهة ، ومنفذ المصدر ، ومنفذ الوجهة ونوع البروتوكول ، و DPI باستثناء التحليل الهرمي ، زاد من تحليل طبقة التطبيق ، وتحديد مختلف التطبيقات والمحتوى ، لتحقيق الوظائف الرئيسية:
1) تحليل التطبيق - تحليل تكوين حركة مرور الشبكة وتحليل الأداء وتحليل التدفق
2) تحليل المستخدم - تمايز مجموعة المستخدمين ، تحليل السلوك ، تحليل الطرفية ، تحليل الاتجاه ، إلخ.
3) تحليل عنصر الشبكة - تحليل على أساس السمات الإقليمية (المدينة ، المنطقة ، الشارع ، إلخ) وحمل المحطة الأساسية
4) مراقبة حركة المرور - الحد من سرعة P2P ، ضمان جودة الخدمة ، ضمان النطاق الترددي ، تحسين موارد الشبكة ، إلخ.
5) ضمان الأمن - هجمات DDOs ، عاصفة بث البيانات ، الوقاية من هجمات الفيروسات الخبيثة ، إلخ.
2- التصنيف العام لتطبيقات الشبكة
يوجد اليوم تطبيقات لا حصر لها على الإنترنت ، ولكن يمكن أن تكون تطبيقات الويب الشائعة شاملة.
على حد علمي ، فإن أفضل شركة التعرف على التطبيق هي Huawei ، التي تدعي أنها تعترف بـ 4000 تطبيق. تحليل البروتوكول هو الوحدة الأساسية للعديد من شركات جدار الحماية (Huawei ، ZTE ، إلخ) ، وهي أيضًا وحدة مهمة للغاية ، تدعم تحقيق الوحدات الوظيفية الأخرى ، وتحديد التطبيق الدقيق ، وتحسين أداء المنتجات وموثوقيتها بشكل كبير. في نمذجة التعرف على البرامج الضارة على أساس خصائص حركة مرور الشبكة ، كما أفعل الآن ، فإن تحديد بروتوكول دقيق ومتسع مهم للغاية. باستثناء حركة مرور الشبكة للتطبيقات المشتركة من حركة تصدير الشركة ، ستفقد حركة المرور المتبقية نسبة صغيرة ، وهي أفضل لتحليل البرامج الضارة والإنذار.
بناءً على تجربتي ، يتم تصنيف التطبيقات الحالية المستخدمة وفقًا لوظائفها:
ملاحظة: وفقًا للفهم الشخصي لتصنيف التطبيق ، لديك أي اقتراحات جيدة مرحبًا بها لترك اقتراح الرسائل
1). بريد إلكتروني
2). فيديو
3). ألعاب
4). مكتب OA OA
5). تحديث البرنامج
6). مالي (بنك ، أليباي)
7). الأسهم
8). التواصل الاجتماعي (برنامج IM)
9). تصفح الويب (ربما تم تحديده بشكل أفضل بعناوين URL)
10). تنزيل أدوات (قرص الويب ، تنزيل P2P ، BT ذات الصلة)
ثم ، كيف يعمل DPI (فحص الحزمة العميقة) في NPB:
1). التقاط الحزم: يلتقط NPB حركة الشبكة من مصادر مختلفة ، مثل المفاتيح أو أجهزة التوجيه أو الصنابير. يستقبل حزم تتدفق عبر الشبكة.
2). تحليل الحزمة: يتم تحليل الحزم التي تم التقاطها بواسطة NPB لاستخراج طبقات البروتوكول المختلفة والبيانات المرتبطة بها. تساعد عملية التحليل هذه في تحديد المكونات المختلفة داخل الحزم ، مثل رؤوس Ethernet ، ورؤوس IP ، ورؤوس طبقة النقل (على سبيل المثال ، TCP أو UDP) ، وبروتوكولات طبقة التطبيق.
3). تحليل الحمولة: مع DPI ، يتجاوز NPB فحص الرأس ويركز على الحمولة النافعة ، بما في ذلك البيانات الفعلية داخل الحزم. يفحص محتوى الحمولة النافعة المتعمقة ، بغض النظر عن التطبيق أو البروتوكول المستخدم ، لاستخراج المعلومات ذات الصلة.
4). تحديد البروتوكول: يمكّن DPI NPB من تحديد البروتوكولات والتطبيقات المحددة المستخدمة في حركة مرور الشبكة. يمكنه اكتشاف وتصنيف البروتوكولات مثل HTTP أو FTP أو SMTP أو DNS أو VoIP أو بروتوكولات دفق الفيديو.
5). فحص المحتوى: يسمح DPI لـ NPB بفحص محتوى الحزم لأنماط أو توقيعات أو كلمات رئيسية محددة. يتيح ذلك اكتشاف تهديدات الشبكة ، مثل البرامج الضارة أو الفيروسات أو محاولات التسلل أو الأنشطة المشبوهة. يمكن أيضًا استخدام DPI لتصفية المحتوى ، أو فرض سياسات الشبكة ، أو تحديد انتهاكات امتثال البيانات.
6). استخراج البيانات الوصفية: خلال DPI ، يستخلص NPB البيانات الوصفية ذات الصلة من الحزم. يمكن أن يتضمن ذلك معلومات مثل عناوين IP المصدر والوجهة أو أرقام المنافذ وتفاصيل الجلسة أو بيانات المعاملة أو أي سمات أخرى ذات صلة.
7). توجيه حركة المرور أو التصفية: بناءً على تحليل DPI ، يمكن لـ NPB توجيه حزم محددة إلى وجهات مخصصة لمزيد من المعالجة ، مثل أجهزة الأمان أو أدوات المراقبة أو منصات التحليلات. يمكن أيضًا تطبيق قواعد التصفية لتجاهل أو إعادة توجيه الحزم بناءً على المحتوى أو الأنماط المحددة.
وقت النشر: يونيو -25-2023