טיף פּאַקעט דורכקוק (דפּי)איז אַ טעכנאָלאָגיע געניצט אין נעטוואָרק פּאַקעט בראָקערס (NPBs) צו דורכקוקן און אַנאַליזירן די אינהאַלט פון נעטוואָרק פּאַקעטן אויף אַ גראַניאַלער מדרגה. עס ינוואַלווז דורכקוקן די פּיילאָוד, כעדערז און אנדערע פּראָטאָקאָל-ספּעציפֿיש אינפֿאָרמאַציע אין פּאַקעטן צו באַקומען דיטיילד ינסייץ אין נעטוואָרק טראַפיק.
די-פּי-איי גייט ווייטער ווי פשוטע כעדער אנאליז און גיט א טיפע פארשטענדעניש פון די דאטן וואס פליסן דורך א נעץ. עס ערמעגליכט א טיפע דורכקוק פון די אפליקאציע שיכט פראטאקאלן, ווי HTTP, FTP, SMTP, VoIP, אדער ווידעא סטרימינג פראטאקאלן. דורך אויספארשן דעם אמת'ן אינהאלט אין פאקעטן, קען די-פּי-איי דעטעקטירן און אידענטיפיצירן ספעציפישע אפליקאציעס, פראטאקאלן, אדער אפילו ספעציפישע דאטן מוסטערן.
אין צוגאב צו דער כייעראַרקישער אַנאַליז פון קוואַל אַדרעסן, דעסטאַניישאַן אַדרעסן, קוואַל פּאָרטן, דעסטאַניישאַן פּאָרטן, און פּראָטאָקאָל טיפּן, לייגט DPI אויך צו אַפּליקאַציע-שיכט אַנאַליז צו ידענטיפיצירן פֿאַרשידענע אַפּליקאַציעס און זייער אינהאַלט. ווען די 1P פּאַקעט, TCP אָדער UDP דאַטן פליסן דורך די באַנדווידט פאַרוואַלטונג סיסטעם באַזירט אויף DPI טעכנאָלאָגיע, לייענט די סיסטעם דעם אינהאַלט פון די 1P פּאַקעט לאָוד צו רעאָרגאַניזירן די אַפּליקאַציע שיכט אינפֿאָרמאַציע אין די OSI שיכט 7 פּראָטאָקאָל, אַזוי צו באַקומען דעם אינהאַלט פון די גאנצע אַפּליקאַציע פּראָגראַם, און דאַן פאָרעמען דעם טראַפיק לויט די פאַרוואַלטונג פּאָליטיק דעפינירט דורך די סיסטעם.
ווי אזוי ארבעט DPI?
טראדיציאנעלע פייערוואלס פעלט אפט די פראסעסינג מאכט צו דורכפירן גרינטלעכע רעאל-צייט טשעקס אויף גרויסע פארנעם פון טראפיק. ווי טעכנאלאגיע גייט פאראויס, קען מען ניצן DPI צו דורכפירן מער קאמפליצירטע טשעקס צו קאנטראלירן כעדערס און דאטן. געווענליך ניצן פייערוואלס מיט איינדרינגונג דעטעקציע סיסטעמען אפט DPI. אין א וועלט וואו דיגיטאלע אינפארמאציע איז וויכטיג, ווערט יעדע שטיקל דיגיטאלע אינפארמאציע איבערגעגעבן איבערן אינטערנעט אין קליינע פעקלעך. דאס שליסט איין אימעיל, מעסעדזשעס געשיקט דורך די אפליקאציע, באזוכטע וועבזייטלעך, ווידעא שמועסן, און נאך. אין צוגאב צו די פאקטישע דאטן, שליסן די פעקלעך איין מעטאדאטא וואס אידענטיפיצירן די טראפיק מקור, אינהאלט, דעסטינאציע, און אנדערע וויכטיגע אינפארמאציע. מיט פעקל פילטערינג טעכנאלאגיע, קען מען קאנטינעווירלעך מאניטארירן און מענענדזשן דאטן צו זיכער מאכן אז עס ווערט פארגעשיקט צום ריכטיגן ארט. אבער צו זיכער מאכן נעץ זיכערהייט, איז טראדיציאנעלע פעקל פילטערינג ווייט פון גענוג. עטלעכע פון די הויפט מעטאדן פון טיפע פעקל אינספעקציע אין נעץ מענענדזשמענט זענען אויסגערעכנט אונטן:
צופּאַסנדיקע מאָדע/אונטערשרריפט
יעדער פּאַקעט ווערט געטשעקט פֿאַר אַ גלייַכן קעגן אַ דאַטאַבייס פון באַקאַנטע נעץ אנפאלן דורך אַ פיירוואַל מיט ינטרוזשאַן דעטעקשאַן סיסטעם (IDS) קייפּאַבילאַטיז. IDS זוכט פֿאַר באַקאַנטע בייזוויליקע ספּעציפֿישע פּאַטערנז און דיסייבאַלז טראַפיק ווען בייזוויליקע פּאַטערנז זענען געפֿונען. דער חסרון פון די סיגנאַטשער גלייַכן פּאָליטיק איז אַז עס אַפּלייז בלויז צו סיגנאַטשערז וואָס זענען דערהייַנטיקט אָפט. אין דערצו, די טעכנאָלאָגיע קען בלויז באַשיצן קעגן באַקאַנטע סכנות אָדער אנפאלן.
פּראָטאָקאָל אויסנאַם
זינט די פּראָטאָקאָל אויסנאַם טעכניק ערלויבט נישט פשוט אַלע דאַטן וואָס שטימען נישט מיט דער אונטערשריפט דאַטאַבייס, האט די פּראָטאָקאָל אויסנאַם טעכניק וואָס ווערט גענוצט דורך דער IDS פיירוואַל נישט די איינגעבוירענע חסרונות פון דער מוסטער/אונטערשריפט מעטשינג מעטאָדע. אַנשטאָט, נעמט זי אָן די פעליקייט אָפּוואַרף פּאָליטיק. לויט פּראָטאָקאָל דעפֿיניציע, באַשליסן פיירוואַלס וואָסערע טראַפיק זאָל ערלויבט ווערן און באַשיצן די נעץ פֿון אומבאַקאַנטע סכנות.
איינדרינגונג פאַרהיטונג סיסטעם (IPS)
IPS לייזונגען קענען בלאקירן די טראנסמיסיע פון שעדלעכע פּאַקעטן באזירט אויף זייער אינהאַלט, און דערמיט אפשטעלן פארדעכטיגטע אטאקעס אין רעאל-צייט. דאס מיינט אז אויב א פּאַקעט רעפּרעזענטירט א באַקאַנטע זיכערהייט ריזיקע, וועט IPS פּראָאַקטיוו בלאקירן נעץ טראַפיק באזירט אויף א דעפינירטן סכום כּללים. איין חסרון פון IPS איז די נויטווענדיקייט צו רעגולער דערהייַנטיקן א סייבער סאַקאָנע דאַטאַבייס מיט פרטים וועגן נייע סאַקאָנען, און די מעגלעכקייט פון פאַלשע פּאָזיטיוון. אבער די סאַקאָנע קען ווערן פארמינערט דורך שאַפֿן קאָנסערוואַטיווע פּאָליטיק און אייגענע טרעשאָולדז, אויפשטעלן פּאַסיק באַזע נאַטור פֿאַר נעץ קאָמפּאָנענטן, און פּעריאָדיש עוואַלויִרן וואָרענונגען און געמאָלדענע געשעענישן צו פֿאַרבעסערן מאָניטאָרינג און אַלערטינג.
1- די די-פי-איי (טיפע פּאַקעט דורכקוק) אין נעטוואָרק פּאַקעט בראָקער
די "טיף" איז לעוועל און געוויינטלעכע פּאַקעט אַנאַליז פאַרגלייַך, "געוויינטלעכע פּאַקעט דורכקוק" בלויז די פאלגענדע אַנאַליז פון IP פּאַקעט 4 שיכט, אַרייַנגערעכנט די מקור אַדרעס, דעסטאַניישאַן אַדרעס, מקור פּאָרט, דעסטאַניישאַן פּאָרט און פּראָטאָקאָל טיפּ, און DPI אַחוץ מיט די כייעראַרקיקאַל אַנאַליז, אויך געוואקסן די אַפּלאַקיישאַן שיכט אַנאַליז, ידענטיפיצירן די פאַרשידן אַפּלאַקיישאַנז און אינהאַלט, צו פאַרשטיין די הויפּט פאַנגקשאַנז:
1) אַפּליקאַציע אַנאַליז -- נעץ טראַפיק קאָמפּאָזיציע אַנאַליז, פאָרשטעלונג אַנאַליז, און פלוס אַנאַליז
2) באַניצער אַנאַליז -- באַניצער גרופּע דיפערענציאַציע, נאַטור אַנאַליז, טערמינאַל אַנאַליז, טרענד אַנאַליז, אאז"וו.
3) נעץ עלעמענט אנאליז -- אנאליז באזירט אויף רעגיאָנאַלע אַטריביוטן (שטאָט, דיסטריקט, גאַס, אאז"וו) און באַזע סטאַנציע לאָוד
4) טראַפיק קאָנטראָל -- P2P גיכקייט לימיטירונג, QoS פארזיכערונג, באַנדווידט פארזיכערונג, נעץ רעסורסן אָפּטימיזאַציע, אאז"וו.
5) זיכערהייט פארזיכערונג -- DDoS אטאקעס, דאטן בראָדקאַסט שטורעם, פאַרהיטונג פון בייזוויליקע ווירוס אטאקעס, אאז"וו.
2- אַלגעמיינע קלאַסיפיקאַציע פון נעץ אַפּליקאַציעס
היינט זענען דא אומצאליגע אפליקאציעס אויפן אינטערנעט, אבער די געוויינלעכע וועב אפליקאציעס קענען זיין אויסשעפנדיק.
אזוי ווייט ווי איך ווייס, איז די בעסטע אַפּ דערקענונג פירמע Huawei, וואָס באַהויפּטט צו דערקענען 4,000 אַפּפּס. פּראָטאָקאָל אַנאַליז איז דער גרונט מאָדול פון פילע פיירוואַל פירמעס (Huawei, ZTE, אאז"וו), און עס איז אויך אַ זייער וויכטיקער מאָדול, וואָס שטיצט די רעאַליזאַציע פון אַנדערע פונקציאָנעלע מאָדולן, פּינקטלעכע אַפּליקאַציע אידענטיפיקאַציע, און שטאַרק פֿאַרבעסערט די פאָרשטעלונג און פאַרלעסלעכקייט פון פּראָדוקטן. אין מאָדעלירן מאַלווער אידענטיפיקאַציע באַזירט אויף נעץ טראַפיק קעראַקטעריסטיקס, ווי איך טו איצט, איז פּינקטלעכע און ברייטע פּראָטאָקאָל אידענטיפיקאַציע אויך זייער וויכטיק. אויסשליסנדיק דעם נעץ טראַפיק פון געוויינטלעכע אַפּליקאַציעס פון דער פירמע'ס עקספּאָרט טראַפיק, וועט דער איבעריגער טראַפיק זיין אַ קליינער פּראָפּאָרציע, וואָס איז בעסער פֿאַר מאַלווער אַנאַליז און אַלאַרם.
באַזירט אויף מיין דערפאַרונג, די עקסיסטירנדיקע אָפט גענוצטע אַפּליקאַציעס זענען קלאַסיפֿיצירט לויט זייערע פֿונקציעס:
פ.ס.: לויט פערזענלעכער פארשטאנד פון די אפליקאציע קלאסיפיקאציע, האט איר גוטע פֿאָרשלאָגן? ביטע לאָזט אַ מעסעדזש.
1). אימעיל
2). ווידעא
3). שפּילן
4). אפיס OA קלאַס
5). ווייכווארג דערהייַנטיקונג
6). פינאַנציעל (באַנק, אַליפּייַ)
7). אקציעס
8). סאציאלע קאָמוניקאַציע (IM ווייכווארג)
9). וועב בראַוזינג (מסתּמא בעסער אידענטיפיצירט מיט URLs)
10). דאַונלאָוד מכשירים (וועב דיסק, P2P דאַונלאָוד, BT פֿאַרבונדן)
דערנאך, ווי אזוי DPI (טיף פּאַקעט דורכקוק) ארבעט אין אַן NPB:
1). פּאַקעט קאַפּטשער: די NPB כאַפּט נעץ טראַפיק פֿון פֿאַרשידענע מקורים, ווי סוויטשעס, ראָוטערס, אָדער טאַפּס. עס באַקומט פּאַקעטן וואָס פֿליסן דורך די נעץ.
2). פּאַקעט פּאַרסינג: די איינגעכאפטע פּאַקעטן ווערן פּאַרסט דורך די NPB צו עקסטראַקטירן פֿאַרשידענע פּראָטאָקאָל שיכטן און פֿאַרבונדענע דאַטן. דער פּאַרסינג פּראָצעס העלפֿט אידענטיפֿיצירן די פֿאַרשידענע קאָמפּאָנענטן אין די פּאַקעטן, אַזאַ ווי עטהערנעט כעדערס, IP כעדערס, טראַנספּאָרט שיכט כעדערס (למשל, TCP אָדער UDP), און אַפּליקאַציע שיכט פּראָטאָקאָלן.
3). פּיילאָוד אַנאַליז: מיט DPI, גייט די NPB ווייטער ווי כעדער דורכקוק און פאָקוסירט אויף די פּיילאָוד, אַרייַנגערעכנט די פאַקטישע דאַטן אין די פּאַקעטן. עס אויספאָרשט די פּיילאָוד אינהאַלט אין טיפקייט, נישט קוקנדיק אויף די אַפּלאַקיישאַן אָדער פּראָטאָקאָל געניצט, צו עקסטראַקטן באַטייַטיק אינפֿאָרמאַציע.
4). פּראָטאָקאָל אידענטיפיקאַציע: DPI ערמעגליכט דעם NPB צו אידענטיפיצירן די ספּעציפֿישע פּראָטאָקאָלן און אַפּליקאַציעס וואָס ווערן גענוצט אין דעם נעץ טראַפיק. עס קען דעטעקטירן און קלאַסיפֿיצירן פּראָטאָקאָלן ווי HTTP, FTP, SMTP, DNS, VoIP, אָדער ווידעאָ סטרימינג פּראָטאָקאָלן.
5). אינהאַלט דורכקוק: DPI ערלויבט די NPB צו דורכקוקן דעם אינהאַלט פון פּאַקעטן פֿאַר ספּעציפֿישע מוסטערן, חתימות, אָדער שליסל ווערטער. דאָס ערמעגליכט די דעטעקציע פון נעץ טרעץ, אַזאַ ווי מאַלוואַרע, ווירוסן, ינטרוזשאַן פּרוּוון, אָדער סאַספּישאַס אַקטיוויטעטן. DPI קען אויך ווערן גענוצט פֿאַר אינהאַלט פֿילטערינג, דורכפירן נעץ פּאָליטיק, אָדער ידענטיפיצירן דאַטן קאַמפּליאַנס ווייאַליישאַנז.
6). מעטאדאטן עקסטראקציע: בעת DPI, נעמט די NPB ארויס רעלעוואנטע מעטאדאטן פון די פאקעטן. דאס קען ארייננעמען אינפארמאציע ווי מקור און ציל IP אדרעסן, פארט נומערן, סעסיע דעטאלן, טראנזאקציע דאטן, אדער יעדע אנדערע רעלעוואנטע אייגנשאפטן.
7). טראַפיק רוטינג אָדער פילטערינג: באַזירט אויף דער DPI אַנאַליז, קען די NPB רוטן ספּעציפֿישע פּאַקעטן צו באַשטימטע דעסטאַניישאַנז פֿאַר ווייטערדיקע פּראַסעסינג, אַזאַ ווי זיכערהייט אַפּפּליאַנסעס, מאָניטאָרינג מכשירים, אָדער אַנאַליטיקס פּלאַטפאָרמעס. עס קען אויך צולייגן פילטערינג כּללים צו אַוועקוואַרפן אָדער רידערעקט פּאַקעטן באַזירט אויף די אידענטיפֿיצירטע אינהאַלט אָדער פּאַטערנז.
פּאָסט צייט: 25סטן יוני 2023
