Inspección de paquetes profundos (DPI)es una tecnología utilizada en los corredores de paquetes de red (NPBS) para inspeccionar y analizar el contenido de los paquetes de red a nivel granular. Implica examinar la carga útil, los encabezados y otra información específica del protocolo dentro de los paquetes para obtener información detallada sobre el tráfico de red.
DPI va más allá del simple análisis de encabezado y proporciona una comprensión profunda de los datos que fluyen a través de una red. Permite una inspección en profundidad de los protocolos de capa de aplicación, como los protocolos HTTP, FTP, SMTP, VOIP o de transmisión de video. Al examinar el contenido real dentro de los paquetes, DPI puede detectar e identificar aplicaciones específicas, protocolos o incluso patrones de datos específicos.
Además del análisis jerárquico de direcciones fuente, direcciones de destino, puertos de origen, puertos de destino y tipos de protocolo, DPI también agrega análisis de capas de aplicación para identificar diversas aplicaciones y sus contenidos. Cuando el paquete 1P, los datos TCP o UDP fluyen a través del sistema de administración de ancho de banda basado en la tecnología DPI, el sistema lee el contenido de la carga del paquete 1P para reorganizar la información de la capa de aplicación en el protocolo de capa 7 de OSI, para obtener el contenido de todo el programa de aplicaciones, y luego dar forma al tráfico de acuerdo con la política de gestión definida por el sistema.
¿Cómo funciona DPI?
Los firewalls tradicionales a menudo carecen de la potencia de procesamiento para realizar controles exhaustivos en tiempo real en grandes volúmenes de tráfico. A medida que avanza la tecnología, DPI se puede utilizar para realizar controles más complejos para verificar encabezados y datos. Por lo general, los firewalls con sistemas de detección de intrusos a menudo usan DPI. En un mundo donde la información digital es primordial, cada información digital se entrega a través de Internet en paquetes pequeños. Esto incluye correo electrónico, mensajes enviados a través de la aplicación, sitios web visitados, conversaciones de video y más. Además de los datos reales, estos paquetes incluyen metadatos que identifican la fuente de tráfico, el contenido, el destino y otra información importante. Con la tecnología de filtrado de paquetes, los datos se pueden monitorear y gestionar continuamente para garantizar que se envíe al lugar correcto. Pero para garantizar la seguridad de la red, el filtrado de paquetes tradicional está lejos de ser suficiente. Algunos de los principales métodos de inspección de paquetes profundos en la gestión de redes se enumeran a continuación:
Modo de coincidencia/firma
Cada paquete se verifica para una coincidencia en una base de datos de ataques de red conocidos por un firewall con capacidades del sistema de detección de intrusos (IDS). IDS busca patrones maliciosos específicos y deshabilitados el tráfico cuando se encuentran patrones maliciosos. La desventaja de la política de coincidencia de firma es que solo se aplica a las firmas que se actualizan con frecuencia. Además, esta tecnología solo puede defenderse contra amenazas o ataques conocidos.
Excepción de protocolo
Dado que la técnica de excepción del protocolo no solo permite todos los datos que no coinciden con la base de datos de firma, la técnica de excepción del protocolo utilizada por el firewall IDS no tiene las fallas inherentes del método de coincidencia de patrón/firma. En cambio, adopta la política de rechazo predeterminada. Por definición del protocolo, los firewalls deciden qué tráfico debe permitirse y proteger la red de amenazas desconocidas.
Sistema de prevención de intrusiones (IPS)
Las soluciones IPS pueden bloquear la transmisión de paquetes dañinos en función de su contenido, deteniendo así los ataques sospechosos en tiempo real. Esto significa que si un paquete representa un riesgo de seguridad conocido, IP bloqueará proactivamente el tráfico de red en función de un conjunto definido de reglas. Una desventaja de IPS es la necesidad de actualizar regularmente una base de datos de amenazas cibernéticas con detalles sobre nuevas amenazas y la posibilidad de falsos positivos. Pero este peligro se puede mitigar creando políticas conservadoras y umbrales personalizados, estableciendo un comportamiento de referencia apropiado para los componentes de la red y evaluando periódicamente las advertencias y los eventos informados para mejorar el monitoreo y la alerta.
1- El DPI (Inspección de paquetes profundos) en Network Packet Broker
La "profunda" es la comparación de análisis de paquetes de nivel y nivel, "inspección de paquetes ordinarios" solo el siguiente análisis de la capa de paquete IP 4, incluida la dirección de origen, la dirección de destino, el puerto de origen, el puerto de destino y el tipo de protocolo, y el DPI, excepto con el análisis jerárquico, también aumentó el análisis de la aplicación de la aplicación, identifica las diversas aplicaciones y el contenido, para realizar las funciones principales: las funciones principales:
1) Análisis de aplicaciones: análisis de composición de tráfico de red, análisis de rendimiento y análisis de flujo
2) Análisis de usuarios: diferenciación del grupo de usuarios, análisis de comportamiento, análisis terminal, análisis de tendencias, etc.
3) Análisis de elementos de red: análisis basado en atributos regionales (ciudad, distrito, calle, etc.) y carga de estación base
4) Control de tráfico: limitación de velocidad P2P, garantía de QoS, garantía de ancho de banda, optimización de recursos de red, etc.
5) Garantía de seguridad: ataques DDoS, tormenta de transmisión de datos, prevención de ataques de virus maliciosos, etc.
2- Clasificación general de aplicaciones de red
Hoy hay innumerables aplicaciones en Internet, pero las aplicaciones web comunes pueden ser exhaustivas.
Hasta donde yo sé, la mejor compañía de reconocimiento de aplicaciones es Huawei, que afirma reconocer 4,000 aplicaciones. El análisis de protocolo es el módulo básico de muchas compañías de firewall (Huawei, ZTE, etc.), y también es un módulo muy importante, que respalda la realización de otros módulos funcionales, una identificación precisa de la aplicación y mejora en gran medida el rendimiento y la confiabilidad de los productos. En el modelado de la identificación de malware basada en las características del tráfico de red, como lo estoy haciendo ahora, la identificación precisa y extensa del protocolo también es muy importante. Excluyendo el tráfico de red de las aplicaciones comunes del tráfico de exportación de la compañía, el tráfico restante representará una pequeña proporción, que es mejor para el análisis y la alarma de malware.
Según mi experiencia, las aplicaciones existentes de uso común se clasifican de acuerdo con sus funciones:
PD: Según la comprensión personal de la clasificación de la aplicación, tiene buenas sugerencias bienvenidas para dejar una propuesta de mensaje
1). Correo electrónico
2). Video
3). Juego
4). Clase OA Clase
5). Actualización de software
6). Financiero (Banco, Alipay)
7). Cepo
8). Comunicación social (software IM)
9). Navegación web (probablemente mejor identificada con URL)
10). Descargar herramientas (disco web, descargar P2P, BT relacionado)
Entonces, cómo funciona DPI (Inspección de paquetes profundos) en un NPB:
1). Captura de paquetes: el NPB captura el tráfico de red de varias fuentes, como interruptores, enrutadores o grifos. Recibe paquetes que fluyen a través de la red.
2). Analización de paquetes: los paquetes capturados están analizados por el NPB para extraer varias capas de protocolo y datos asociados. Este proceso de análisis ayuda a identificar los diferentes componentes dentro de los paquetes, como encabezados Ethernet, encabezados IP, encabezados de capa de transporte (por ejemplo, TCP o UDP) y protocolos de capa de aplicación.
3). Análisis de carga útil: con DPI, el NPB va más allá de la inspección del encabezado y se centra en la carga útil, incluidos los datos reales dentro de los paquetes. Examina el contenido de carga útil en profundidad, independientemente de la aplicación o el protocolo utilizado, para extraer información relevante.
4). Identificación del protocolo: DPI permite al NPB identificar los protocolos y aplicaciones específicos que se utilizan dentro del tráfico de red. Puede detectar y clasificar protocolos como HTTP, FTP, SMTP, DNS, VOIP o protocolos de transmisión de video.
5). Inspección del contenido: DPI permite que el NPB inspeccione el contenido de los paquetes para patrones, firmas o palabras clave específicas. Esto permite la detección de amenazas de red, como malware, virus, intentos de intrusión o actividades sospechosas. El DPI también se puede utilizar para el filtrado de contenido, hacer cumplir las políticas de red o identificar violaciones de cumplimiento de datos.
6). Extracción de metadatos: durante DPI, el NPB extrae metadatos relevantes de los paquetes. Esto puede incluir información como direcciones IP de origen y destino, números de puerto, detalles de la sesión, datos de transacciones o cualquier otro atributo relevante.
7). Enrutamiento o filtrado de tráfico: según el análisis DPI, el NPB puede enrutar paquetes específicos a destinos designados para su posterior procesamiento, como electrodomésticos, herramientas de monitoreo o plataformas de análisis. También puede aplicar reglas de filtrado para descartar o redirigir paquetes basados en el contenido o patrones identificados.
Tiempo de publicación: junio 25-2023
