טיף פּאַקאַט דורכקוק (דפּי)איז אַ טעכנאָלאָגיע געניצט אין נעטוואָרק פּאַקאַט בראָקערס (NPBs) צו דורכקוקן און אַנאַלייז די אינהאַלט פון נעץ פּאַקיץ אויף אַ גראַניאַלער מדרגה. עס ינוואַלווז ונטערזוכן די פּיילאָוד, כעדערז און אנדערע פּראָטאָקאָל-ספּעציפיש אינפֿאָרמאַציע אין פּאַקיץ צו באַקומען דיטיילד ינסייץ אין נעץ פאַרקער.
DPI גייט ווייַטער פון פּשוט כעדער אַנאַליסיס און גיט אַ טיף פארשטאנד פון די דאַטן פלאָוינג דורך אַ נעץ. עס אַלאַוז פֿאַר טיף דורכקוק פון די פּראָטאָקאָלס פון די אַפּלאַקיישאַן שיכטע, אַזאַ ווי הטטפּ, פטפּ, סמטפּ, וואָיפּ אָדער ווידעא סטרימינג פּראָטאָקאָלס. דורך דורכקוקן די פאַקטיש אינהאַלט אין פּאַקיץ, DPI קענען דעטעקט און ידענטיפיצירן ספּעציפיש אַפּלאַקיישאַנז, פּראָטאָקאָלס אָדער אפילו ספּעציפיש דאַטן פּאַטערנז.
אין אַדישאַן צו די כייעראַרקאַקאַל אַנאַליסיס פון מקור ווענדט, דעסטיניישאַן ווענדט, מקור פּאָרץ, דעסטיניישאַן פּאָרץ און פּראָטאָקאָל טייפּס, DPI אויך מוסיף אַפּלאַקיישאַן-שיכטע אַנאַליסיס צו ידענטיפיצירן פאַרשידן אַפּלאַקיישאַנז און זייער אינהאַלט. ווען די 1P פּאַקאַט, TCP אָדער UDP דאַטן לויפן דורך די באַנדווידט פאַרוואַלטונג סיסטעם באזירט אויף DPI טעכנאָלאָגיע, די סיסטעם לייענט די אינהאַלט פון די 1P פּאַקאַט מאַסע צו ריאָרגאַנייז די אַפּלאַקיישאַן שיכטע אינפֿאָרמאַציע אין די OSI Layer 7 פּראָטאָקאָל, אַזוי צו באַקומען די אינהאַלט פון די גאנצע אַפּלאַקיישאַן פּראָגראַם, און דעמאָלט פאָרמינג די פאַרקער לויט די פאַרוואַלטונג פּאָליטיק דיפיינד דורך די סיסטעם.
ווי טוט DPI אַרבעט?
טראַדיציאָנעל פירעוואַללס אָפט פעלן די פּראַסעסינג מאַכט צו דורכפירן גרונטיק פאַקטיש-צייט טשעקס אויף גרויס וואַליומז פון פאַרקער. ווי טעכנאָלאָגיע אַדוואַנסיז, DPI קענען זיין געוויינט צו דורכפירן מער קאָמפּליצירט טשעקס צו קאָנטראָלירן כעדערז און דאַטן. טיפּיקאַללי, פירעוואַללס מיט ינטרוזשאַן דיטעקשאַן סיסטעמען אָפט נוצן DPI. אין אַ וועלט ווו דיגיטאַל אינפֿאָרמאַציע איז העכסט וויכטיק, יעדער שטיק פון דיגיטאַל אינפֿאָרמאַציע איז איבערגעגעבן איבער די אינטערנעט אין קליין פּאַקיץ. דאָס כולל E- בריוו, אַרטיקלען געשיקט דורך די אַפּ, באזוכט וועבסיטעס, ווידעא שמועסן און מער. אין אַדישאַן צו די פאַקטיש דאַטן, די פּאַקיץ אַרייַננעמען מעטאַדאַטאַ וואָס יידענאַפייד די פאַרקער מקור, אינהאַלט, דעסטיניישאַן און אנדערע וויכטיק אינפֿאָרמאַציע. מיט פּאַקאַט פֿילטרירונג טעכנאָלאָגיע, דאַטן קענען זיין קאַנטיניואַסלי מאָניטאָרעד און געראטן צו ענשור אַז עס איז פאָרווערדיד צו די רעכט אָרט. אָבער צו ענשור נעץ זיכערהייט, טראדיציאנעלן פּאַקאַט פֿילטרירונג איז ווייַט פון גענוג. עטלעכע פון די הויפּט מעטהאָדס פון טיף פּאַקאַט דורכקוק אין נעץ פאַרוואַלטונג זענען ליסטעד אונטן:
מאַטטשינג מאָדע / סיגנאַטורע
יעדער פּאַקאַט איז אָפּגעשטעלט פֿאַר אַ גלייַכן קעגן אַ דאַטאַבייס פון באקאנט נעץ אנפאלן דורך אַ פיירוואַל מיט ינטרוזשאַן דיטעקשאַן סיסטעם (IDS) קייפּאַבילאַטיז. IDS זוכט פֿאַר באַוווסט בייזע ספּעציפיש פּאַטערנז און דיסייבאַלז פאַרקער ווען בייזע פּאַטערנז זענען געפֿונען. די כיסאָרן פון די כסימע וואָס ריכטן פּאָליטיק איז אַז עס אַפּלייז בלויז צו סיגנאַטשערז וואָס זענען אָפט דערהייַנטיקט. אין דערצו, דעם טעכנאָלאָגיע קענען בלויז באַשיצן קעגן באקאנט טרעץ אָדער אנפאלן.
פּראָטאָקאָל ויסנעם
זינט די פּראָטאָקאָל ויסנעם טעכניק קען נישט פשוט לאָזן אַלע דאַטן וואָס שטימען נישט מיט די כסימע דאַטאַבייס, די פּראָטאָקאָל ויסנעם טעכניק געניצט דורך די IDS פיירוואַל טוט נישט האָבן די טאָכיק פלאָז פון די מוסטער / כסימע וואָס ריכטן זיך אופֿן. אַנשטאָט, עס אַדאַפּץ די פעליקייַט רידזשעקשאַן פּאָליטיק. לויט פּראָטאָקאָל דעפֿיניציע, פירעוואַללס באַשליסן וואָס פאַרקער זאָל זיין ערלויבט און באַשיצן די נעץ פון אומבאַקאַנט טרעץ.
ינטרוסיאָן פּרעווענטיאָן סיסטעם (IPS)
IPS סאַלושאַנז קענען פאַרשפּאַרן די טראַנסמיסיע פון שעדלעך פּאַקיץ באזירט אויף זייער אינהאַלט, דערמיט סטאָפּפּינג סאַספּעקטיד אנפאלן אין פאַקטיש צייט. דעם מיטל אַז אויב אַ פּאַקאַט רעפּראַזענץ אַ באַוווסט זיכערהייט ריזיקירן, IPS וועט פּראָואַקטיוולי פאַרשפּאַרן נעץ פאַרקער באזירט אויף אַ דיפיינד גאַנג פון כּללים. איין כיסאָרן פון IPS איז די נויט צו קעסיידער דערהייַנטיקן אַ סייבער סאַקאָנע דאַטאַבייס מיט דעטאַילס וועגן נייַע טרעץ און די מעגלעכקייט פון פאַלש פּאַזאַטיווז. אָבער די געפאַר קענען זיין מיטאַגייטיד דורך קריייטינג קאָנסערוואַטיווע פּאַלאַסיז און מנהג שוועלן, גרינדן צונעמען באַסעלינע נאַטור פֿאַר נעץ קאַמפּאָונאַנץ, און פּיריאַדיקלי אָפּשאַצן וואָרנינגז און רעפּאָרטעד געשעענישן צו פאַרבעסערן מאָניטאָרינג און אַלערטינג.
1- די דפּי (טיף פּאַקאַט דורכקוק) אין נעטוואָרק פּאַקאַט מעקלער
די "טיף" איז גלייַך און פּראָסט פּאַקאַט אַנאַליסיס פאַרגלייַך, "געוויינטלעך פּאַקאַט דורכקוק" בלויז די פאלגענדע אַנאַליסיס פון IP פּאַקאַט 4 שיכטע, אַרייַנגערעכנט די מקור אַדרעס, דעסטיניישאַן אַדרעס, מקור פּאָרט, דעסטיניישאַן פּאָרט און פּראָטאָקאָל טיפּ, און דפּי חוץ מיט די כייראַרקאַקאַל אַנאַליסיס, אויך געוואקסן די אַפּלאַקיישאַן שיכטע אַנאַליסיס, ידענטיפיצירן די פאַרשידן אַפּלאַקיישאַנז און אינהאַלט, צו פאַרשטיין די הויפּט פאַנגקשאַנז:
1) אַפּפּליקאַטיאָן אַנאַליסיס - נעץ פאַרקער זאַץ אַנאַליסיס, פאָרשטעלונג אַנאַליסיס און לויפן אַנאַליסיס
2) באַניצער אַנאַליסיס - באַניצער גרופּע דיפערענשייישאַן, נאַטור אַנאַליסיס, וואָקזאַל אַנאַליסיס, גאַנג אַנאַליסיס, עטק.
3) נעטוואָרק עלעמענט אַנאַליסיס - אַנאַליסיס באזירט אויף רעגיאָנאַל אַטריביוץ (שטאָט, דיסטריקט, גאַס, אאז"ו ו) און באַזע סטאַנציע מאַסע
4) פאַרקער קאָנטראָל - P2P גיכקייַט לימיטינג, QoS פארזיכערונג, באַנדווידט אַשוראַנס, נעץ מיטל אַפּטאַמאַזיישאַן, עטק.
5) זיכערהייט אַשוראַנס - DDoS אנפאלן, דאַטן בראָדקאַסט שטורעם, פאַרהיטונג פון בייזע ווירוס אנפאלן, עטק.
2- אַלגעמיינע קלאַסאַפאַקיישאַן פון נעטוואָרק אַפּפּליקאַטיאָנס
הייַנט עס זענען קאַונטלאַס אַפּלאַקיישאַנז אויף די אינטערנעט, אָבער די פּראָסט וועב אַפּלאַקיישאַנז קענען זיין יגזאָסטיוו.
ווי ווייַט ווי איך וויסן, די בעסטער אַפּ דערקענונג פירמע איז Huawei, וואָס קליימז צו דערקענען 4,000 אַפּפּס. פּראָטאָקאָל אַנאַליסיס איז די יקערדיק מאָדולע פון פילע פירעוואַלל קאָמפּאַניעס (Huawei, ZTE, אאז"ו ו), און עס איז אויך אַ זייער וויכטיק מאָדולע, וואָס שטיצט די רעאַליזיישאַן פון אנדערע פאַנגקשאַנאַל מאַדזשולז, פּינטלעך אַפּלאַקיישאַן לעגיטימאַציע און זייער ימפּרוווינג די פאָרשטעלונג און רילייאַבילאַטי פון פּראָדוקטן. אין מאָדעלינג מאַלוואַרע לעגיטימאַציע באזירט אויף נעץ פאַרקער קעראַקטעריסטיקס, ווי איך טאָן איצט, פּינטלעך און ברייט פּראָטאָקאָל לעגיטימאַציע איז אויך זייער וויכטיק. עקסקלודינג די נעץ פאַרקער פון פּראָסט אַפּלאַקיישאַנז פון די פירמע 'ס עקספּאָרט פאַרקער, די רוען פאַרקער וועט אַקאַונץ פֿאַר אַ קליין פּראָפּאָרציע, וואָס איז בעסער פֿאַר מאַלוואַרע אַנאַליסיס און שרעק.
באַזירט אויף מיין דערפאַרונג, די יגזיסטינג קאַמאַנלי געוויינט אַפּלאַקיישאַנז זענען קלאַסאַפייד לויט זייער פאַנגקשאַנז:
פּס: לויט דיין פערזענלעכע פארשטאנד פון די אַפּלאַקיישאַן קלאַסאַפאַקיישאַן, איר האָט קיין גוטע פֿירלייגן צו לאָזן אַ אָנזאָג פאָרשלאָג
1). E- פּאָסט
2). ווידעא
3). גאַמעס
4). אָפיס אָאַ קלאַס
5). ווייכווארג דערהייַנטיקן
6). פינאַנציעל (באַנק, Alipay)
7). סטאַקס
8). סאציאל קאָמוניקאַציע (IM ווייכווארג)
9). וועב בראַוזינג (מיסטאָמע בעסער יידענאַפייד מיט URL ס)
10). אראפקאפיע מכשירים (וועב דיסק, P2P אראפקאפיע, BT שייַכות)
דערנאָך, ווי דפּי (טיף פּאַקאַט דורכקוק) אַרבעט אין אַ נפּב:
1). פּאַקאַט קאַפּטורע: די NPB קאַפּטשערז נעץ פאַרקער פון פאַרשידן קוואלן, אַזאַ ווי סוויטשיז, ראָוטערס אָדער טאַפּס. עס נעמט פּאַקיץ פלאָוינג דורך די נעץ.
2). פּאַקאַט פּאַרסינג: די קאַפּטשערד פּאַקיץ זענען פּאַרסעד דורך די NPB צו עקסטראַקט פאַרשידן פּראָטאָקאָל לייַערס און פֿאַרבונדן דאַטן. דער פּאַרסינג פּראָצעס העלפּס צו ידענטיפיצירן די פאַרשידענע קאַמפּאָונאַנץ אין די פּאַקיץ, אַזאַ ווי עטהערנעט כעדערז, IP כעדערז, אַריבערפירן שיכטע כעדערז (למשל, TCP אָדער UDP), און פּראָטאָקאָלס פון אַפּלאַקיישאַן שיכטע.
3). פּיילאָוד אַנאַליסיס: מיט DPI, די NPB גייט ווייַטער פון כעדער דורכקוק און פאָוקיסיז אויף די פּיילאָוד, אַרייַנגערעכנט די פאַקטיש דאַטן אין די פּאַקיץ. עס יגזאַמאַנז די פּיילאָוד אינהאַלט אין-טיפקייַט, יראַספּעקטיוו פון די אַפּלאַקיישאַן אָדער פּראָטאָקאָל געניצט, צו עקסטראַקט באַטייַטיק אינפֿאָרמאַציע.
4). פּראָטאָקאָל לעגיטימאַציע: דפּי ינייבאַלז די NPB צו ידענטיפיצירן די ספּעציפיש פּראָטאָקאָלס און אַפּלאַקיישאַנז וואָס זענען געניצט אין די נעץ פאַרקער. עס קענען דעטעקט און קלאַסיפיצירן פּראָטאָקאָלס ווי הטטפּ, פטפּ, סמטפּ, דנס, וואָיפּ אָדער ווידעא סטרימינג פּראָטאָקאָלס.
5). אינהאַלט דורכקוק: דפּי אַלאַוז די NPB צו דורכקוקן די אינהאַלט פון פּאַקיץ פֿאַר ספּעציפיש פּאַטערנז, סיגנאַטשערז אָדער טערמינען. דאָס ינייבאַלז די דיטעקשאַן פון נעץ טרעץ, אַזאַ ווי מאַלוואַרע, ווירוסעס, ינטרוזשאַן פרווון אָדער סאַספּישאַס אַקטיוויטעטן. דפּי קענען אויך זיין געוויינט פֿאַר אינהאַלט פֿילטרירונג, ענפאָרסינג נעץ פּאַלאַסיז אָדער ידענטיפיצירן דאַטן העסקעם ווייאַליישאַנז.
6). מעטאַדאַטאַ עקסטראַקטיאָן: בעשאַס DPI, די NPB עקסטראַקט באַטייַטיק מעטאַדאַטאַ פון די פּאַקיץ. דאָס קען אַרייַננעמען אינפֿאָרמאַציע אַזאַ ווי מקור און דעסטיניישאַן IP אַדרעסעס, פּאָרט נומערן, סעסיע דעטאַילס, טראַנסאַקטיאָן דאַטן אָדער קיין אנדערע באַטייַטיק אַטריביוץ.
7). פאַרקער רוטינג אָדער פֿילטרירונג: באַזירט אויף די דפּי אַנאַליסיס, די NPB קענען מאַרשרוט ספּעציפיש פּאַקיץ צו דעזיגנייטיד דעסטאַניישאַנז פֿאַר ווייַטער פּראַסעסינג, אַזאַ ווי זיכערהייט אַפּפּליאַנסעס, מאָניטאָרינג מכשירים אָדער אַנאַליטיקס פּלאַטפאָרמס. עס קענען אויך צולייגן פֿילטרירונג כּללים צו אַוועקוואַרפן אָדער רידערעקט פּאַקיץ באזירט אויף די יידענאַפייד אינהאַלט אָדער פּאַטערנז.
פּאָסטן צייט: יוני 25-2023