Ispezione Profonda di i Pacchetti (DPI)hè una tecnulugia aduprata in i Network Packet Brokers (NPB) per ispezionà è analizà u cuntenutu di i pacchetti di rete à un livellu granulare. Implica l'esame di u payload, l'intestazioni è altre informazioni specifiche di u protocolu in i pacchetti per ottene informazioni dettagliate nantu à u trafficu di rete.
DPI va oltre a semplice analisi di l'intestazione è furnisce una cunniscenza prufonda di i dati chì scorrenu per una rete. Permette una ispezione approfondita di i protocolli di u livellu di l'applicazione, cum'è HTTP, FTP, SMTP, VoIP, o protocolli di streaming video. Esaminendu u cuntenutu attuale in i pacchetti, DPI pò rilevà è identificà applicazioni specifiche, protocolli, o ancu mudelli di dati specifici.
In più di l'analisi gerarchica di l'indirizzi di fonte, l'indirizzi di destinazione, i porti di fonte, i porti di destinazione è i tipi di protocolu, DPI aghjusta ancu l'analisi di u livellu d'applicazione per identificà diverse applicazioni è u so cuntenutu. Quandu u pacchettu 1P, i dati TCP o UDP scorrenu attraversu u sistema di gestione di a larghezza di banda basatu annantu à a tecnulugia DPI, u sistema legge u cuntenutu di u caricu di pacchetti 1P per riurganizà l'infurmazioni di u livellu d'applicazione in u protocolu OSI Layer 7, in modu da ottene u cuntenutu di tuttu u prugramma d'applicazione, è dopu modellà u trafficu secondu a pulitica di gestione definita da u sistema.
Cumu funziona u DPI?
I firewall tradiziunali spessu ùn anu micca a putenza di trasfurmazione per fà cuntrolli approfonditi in tempu reale nantu à grandi volumi di trafficu. Cù l'avanzamentu di a tecnulugia, u DPI pò esse adupratu per fà cuntrolli più cumplessi per verificà l'intestazioni è i dati. Tipicamente, i firewall cù sistemi di rilevazione d'intrusioni utilizanu spessu u DPI. In un mondu induve l'infurmazione digitale hè di primura, ogni pezzu d'infurmazione digitale hè furnita via Internet in picculi pacchetti. Questu include email, missaghji mandati per mezu di l'app, siti web visitati, conversazioni video è ancu di più. In più di i dati attuali, sti pacchetti includenu metadati chì identificanu a fonte di trafficu, u cuntenutu, a destinazione è altre informazioni impurtanti. Cù a tecnulugia di filtrazione di pacchetti, i dati ponu esse monitorati è gestiti continuamente per assicurà chì sianu trasmessi à u locu ghjustu. Ma per assicurà a sicurezza di a rete, u filtrazione tradiziunale di pacchetti hè luntanu da esse abbastanza. Alcuni di i principali metudi di ispezione prufonda di pacchetti in a gestione di a rete sò elencati quì sottu:
Modu/Firma di currispundenza
Ogni pacchettu hè verificatu per una currispundenza cù una basa di dati di attacchi di rete cunnisciuti da un firewall cù capacità di sistema di rilevazione di intrusioni (IDS). IDS cerca mudelli specifichi maliziosi cunnisciuti è disattiva u trafficu quandu si trovanu mudelli maliziosi. U svantaghju di a pulitica di currispundenza di firma hè chì s'applica solu à e firme chì sò aggiornate frequentemente. Inoltre, sta tecnulugia pò difende solu contr'à minacce o attacchi cunnisciuti.
Eccezzione di Protocolu
Siccomu a tecnica di l'eccezzione di protocolu ùn permette micca solu tutti i dati chì ùn currispondenu micca à a basa di dati di e firme, a tecnica di l'eccezzione di protocolu aduprata da u firewall IDS ùn hà micca i difetti inerenti di u metudu di currispundenza di mudelli/firme. Invece, adotta a pulitica di rifiutu predefinita. Per definizione di protocolu, i firewall decidenu quale trafficu deve esse permessu è pruteggenu a rete da minacce scunnisciute.
Sistema di Prevenzione di l'Intrusione (IPS)
E suluzioni IPS ponu bluccà a trasmissione di pacchetti dannosi in basa à u so cuntenutu, fermendu cusì l'attacchi suspettati in tempu reale. Questu significa chì se un pacchettu rapprisenta un risicu di sicurezza cunnisciutu, IPS bluccherà proattivamente u trafficu di rete in basa à un inseme definitu di regule. Un svantaghju di IPS hè a necessità di aghjurnà regularmente una basa di dati di minacce cibernetiche cù dettagli nantu à e nuove minacce è a pussibilità di falsi pusitivi. Ma questu periculu pò esse mitigatu creendu pulitiche cunservative è soglie persunalizate, stabilendu un cumpurtamentu di basa adattatu per i cumpunenti di rete è valutendu periodicamente l'avvertimenti è l'eventi segnalati per migliurà u monitoraghju è l'allerte.
1- U DPI (Ispezione Profonda di i Pacchetti) in u Broker di Pacchetti di Rete
U "prufondu" hè u paragone di l'analisi di pacchetti di livellu è ordinariu, "ispezione di pacchetti ordinariu" solu l'analisi seguente di u pacchettu IP 4 stratu, cumprese l'indirizzu di fonte, l'indirizzu di destinazione, u portu di fonte, u portu di destinazione è u tipu di protocolu, è DPI eccettu cù l'analisi gerarchica, hà ancu aumentatu l'analisi di u stratu di l'applicazione, identificendu e diverse applicazioni è cuntenutu, per realizà e funzioni principali:
1) Analisi di l'applicazione -- analisi di a cumpusizione di u trafficu di rete, analisi di e prestazioni è analisi di u flussu
2) Analisi di l'utilizatori -- differenziazione di gruppi d'utilizatori, analisi di u cumpurtamentu, analisi di u terminal, analisi di e tendenze, ecc.
3) Analisi di l'elementi di a rete -- analisi basata annantu à l'attributi regiunali (cità, distrettu, strada, ecc.) è u caricu di a stazione base
4) Cuntrollu di u trafficu -- Limitazione di velocità P2P, garanzia QoS, garanzia di larghezza di banda, ottimizazione di e risorse di rete, ecc.
5) Assicurazione di Sicurezza -- Attacchi DDoS, tempesta di trasmissione di dati, prevenzione di attacchi di virus maliziosi, ecc.
2- Classificazione Generale di l'Applicazioni di Rete
Oghje ci sò innumerevuli applicazioni nant'à Internet, ma l'applicazioni web cumuni ponu esse esaustive.
À a mo cunniscenza, a megliu cumpagnia di ricunniscenza di l'applicazioni hè Huawei, chì pretende di ricunnosce 4.000 app. L'analisi di i protocolli hè u modulu basicu di parechje cumpagnie di firewall (Huawei, ZTE, ecc.), è hè ancu un modulu assai impurtante, chì sustene a realizazione di altri moduli funziunali, l'identificazione precisa di l'applicazioni è migliurà assai e prestazioni è l'affidabilità di i prudutti. In a modellazione di l'identificazione di malware basata annantu à e caratteristiche di u trafficu di rete, cum'è aghju fattu avà, l'identificazione precisa è estensiva di i protocolli hè ancu assai impurtante. Escludendu u trafficu di rete di l'applicazioni cumuni da u trafficu d'esportazione di a cumpagnia, u trafficu restante rapprisenterà una piccula parte, chì hè megliu per l'analisi è l'allarme di malware.
Basatu annantu à a mo sperienza, l'applicazioni cumunimenti aduprate esistenti sò classificate secondu e so funzioni:
PS: Sicondu a vostra capiscitura persunale di a classificazione di l'applicazione, avete qualchì bona suggerimentu, pudete lascià una pruposta di missaghju.
1). E-mail
2). Video
3). Ghjochi
4). Classe OA di l'uffiziu
5). Aghjurnamentu di u software
6). Finanziariu (banca, Alipay)
7). Azzioni
8). Cumunicazione suciale (software di messageria istantanea)
9). Navigazione web (probabilmente megliu identificata cù URL)
10). Strumenti di scaricamentu (discu web, scaricamentu P2P, relativi à BT)
Allora, cumu funziona DPI (Deep Packet Inspection) in un NPB:
1). Cattura di pacchetti: L'NPB cattura u trafficu di rete da diverse fonti, cum'è switch, router o tap. Riceve i pacchetti chì scorrenu per a rete.
2). Analisi di i pacchetti: I pacchetti catturati sò analizati da u NPB per estrarre diversi livelli di protocolu è dati assuciati. Stu prucessu di analisi aiuta à identificà i diversi cumpunenti in i pacchetti, cum'è l'intestazioni Ethernet, l'intestazioni IP, l'intestazioni di u livellu di trasportu (per esempiu, TCP o UDP) è i protocolli di u livellu di l'applicazione.
3). Analisi di a carica utile: Cù DPI, l'NPB va oltre l'ispezione di l'intestazione è si cuncentra nantu à a carica utile, cumpresi i dati attuali in i pacchetti. Esamina u cuntenutu di a carica utile in prufundità, indipendentemente da l'applicazione o u protocolu utilizatu, per estrae l'infurmazioni pertinenti.
4). Identificazione di u Protocolu: DPI permette à a NPB d'identificà i protocolli è l'applicazioni specifichi utilizati in u trafficu di a rete. Pò rilevà è classificà i protocolli cum'è HTTP, FTP, SMTP, DNS, VoIP, o protocolli di streaming video.
5). Ispezione di u cuntenutu: DPI permette à NPB d'ispeziona u cuntenutu di i pacchetti per mudelli specifichi, firme o parole chjave. Questu permette a rilevazione di minacce di rete, cum'è malware, virus, tentativi d'intrusione o attività suspettose. DPI pò ancu esse adupratu per u filtraggio di cuntenutu, l'applicazione di e pulitiche di rete o l'identificazione di e violazioni di cunfurmità di i dati.
6). Estrazione di metadati: Durante u DPI, l'NPB estrae i metadati pertinenti da i pacchetti. Quessi ponu include informazioni cum'è l'indirizzi IP di fonte è di destinazione, i numeri di portu, i dettagli di sessione, i dati di transazzione, o qualsiasi altri attributi pertinenti.
7). Routing o Filtraggio di u Trafficu: Basatu annantu à l'analisi DPI, l'NPB pò indirizzà pacchetti specifici versu destinazioni designate per un ulteriore trattamentu, cum'è apparecchi di sicurezza, strumenti di monitoraghju o piattaforme analitiche. Pò ancu applicà regule di filtraggio per scartà o ridirizionà i pacchetti basatu annantu à u cuntenutu o i mudelli identificati.
Data di publicazione: 25 di ghjugnu di u 2023
