Что такое и как работает глубокая проверка пакетов DPI

Что такое глубокая проверка пакетов (DPI)?

Глубокая проверка пакетов (DPI) — это передовой метод исследования и управления сетевым трафиком. Это разновидность фильтрации пакетов, которая обнаруживает, идентифицирует, классифицирует и перенаправляет или блокирует пакеты с определенными данными или кодовой полезной нагрузкой, которые обычная фильтрация пакетов, изучающая только заголовки пакетов, не может обнаружить.

Обычно выполняемая как часть защиты брандмауэра, глубокий анализ трафика функционирует на прикладном уровне эталонной модели Open Systems Interconnection (OSI).

Dark servers data center room with computers and storage systems

Как работает глубокая проверка пакетов?

Глубокая проверка пакетов изучает содержимое пакетов, проходящих через заданную контрольную точку, и принимает решения в режиме реального времени в зависимости от того, что содержит пакет, и на основе правил, назначенных предприятием, интернет-провайдером или сетевым менеджером.

Предыдущие формы фильтрации пакетов рассматривали только информацию заголовка пакета, что аналогично чтению адреса, напечатанного на конверте, без знания содержимого конверта. Отчасти это было связано с ограничениями старых технологий.

До недавнего времени брандмауэры не обладали вычислительной мощностью, необходимой для проведения более глубокой проверки больших объемов трафика в режиме реального времени. Технологический прогресс позволил DPI выполнять более сложные проверки, так что он может проверять как заголовки пакетов, так и данные.

DPI может изучить содержимое сообщения и определить конкретное приложение или службу, которая его отправила. Кроме того, фильтры могут быть запрограммированы на поиск и перенаправление сетевого трафика из определенного диапазона адресов интернет-протокола или определенных онлайн-сервисов, таких как Youtube или Twitter.

Hackers breaking server using multiple computers and infected virus ransomware.

Каковы общие области применения и использования DPI?

DPI в основном используется брандмауэрами, включающими функцию системы обнаружения вторжений, и отдельными IDS, которые предназначены как для обнаружения атак, так и для защиты сети.

Он может использоваться в благородных целях как инструмент сетевой безопасности для обнаружения и перехвата вирусов, червей, шпионских программ и других форм вредоносного трафика и попыток вторжения. Но он также может использоваться и для иных целей, таких как прослушивание.

Глубокая инспекция пакетов также полезна для управления сетью и обеспечения соблюдения политики в отношении контента, чтобы остановить утечку данных и упорядочить или изменить поток сетевого трафика в соответствии с конкретными условиями использования. Например, сообщение, помеченное как высокоприоритетное, может быть направлено к месту назначения перед менее важными или низкоприоритетными сообщениями или пакетами. DPI также можно использовать для дросселирования передачи данных, чтобы предотвратить злоупотребления одноранговой сетью и тем самым повысить производительность сети.

Поскольку DPI позволяет определить отправителя или получателя контента, содержащего определенные пакеты, это вызвало беспокойство среди защитников конфиденциальности и противников сетевого нейтралитета.

Каковы ограничения DPI?

Глубокая проверка пакетов имеет три существенных ограничения:

  1. Он может создавать новые уязвимости в сети, даже если он обеспечивает защиту от существующих уязвимостей. Хотя DPI эффективен против атак переполнения буфера, атак отказа в обслуживании и некоторых типов вредоносного ПО, он также может быть использован для облегчения атак в этих же категориях.
  2. DPI усугубляет сложность и громоздкость существующих брандмауэров и другого программного обеспечения, связанного с безопасностью. Кроме того, для сохранения оптимальной эффективности DPI требует периодического обновления и пересмотра, что может увеличить административную нагрузку на команды безопасности.
  3. DPI может снижать скорость и производительность сети, поскольку создает узкие места в сети и увеличивает нагрузку на процессоры брандмауэра для дешифровки данных и поточной проверки.

Несмотря на эти ограничения, многие сетевые администраторы используют технологию глубокой проверки пакетов, чтобы справиться с ростом объема, сложности и частоты интернет-угроз.

Cloud computing technology and online data storage for global data sharing.

Методы глубокой проверки пакетов

Ниже перечислены три основные техники, используемые при глубокой проверке пакетов:

  1. Сопоставление шаблонов или сигнатур. Брандмауэр с функцией IDS анализирует каждый пакет по базе данных известных сетевых атак. Он ищет определенные шаблоны, которые, как известно, являются вредоносными, и блокирует трафик, если находит такой шаблон. Недостатком этого подхода является то, что его эффективность зависит от регулярного обновления сигнатур. Этот метод работает только против известных угроз или атак. Поскольку новые угрозы обнаруживаются ежедневно, постоянное обновление сигнатур является критически важным для того, чтобы брандмауэр мог обнаруживать угрозы и продолжать защищать сеть.
  2. Аномалия протокола. Метод аномалии протокола — опять же, используемый брандмауэрами с IDS — не имеет недостатков, присущих методу сопоставления шаблона/сигнатуры, поскольку он не просто разрешает все содержимое, которое не соответствует базе данных сигнатур. Скорее, он использует подход запрета по умолчанию. Брандмауэр определяет, какой контент/трафик должен быть разрешен на основе определений протоколов. Таким образом, в отличие от подбора сигнатур, этот метод также защищает сеть от неизвестных атак.
  3. Система предотвращения вторжений (IPS). Решения IPS могут блокировать обнаруженные атаки в режиме реального времени, предотвращая доставку вредоносных пакетов на основе их содержимого. Таким образом, если определенный пакет представляет собой известную угрозу безопасности, IPS будет проактивно запрещать сетевой трафик на основе определенного набора правил. Одним из недостатков IPS является то, что база данных киберугроз должна регулярно обновляться информацией о новых угрозах. Риск ложных срабатываний также высок, но его можно снизить путем установления надлежащего базового поведения для сетевых компонентов, создания консервативных политик и пользовательских пороговых значений, а также регулярного анализа предупреждений и зарегистрированных инцидентов для улучшения мониторинга и оповещения.

Заключение

В сети каждый пакет данных поставляется с заголовком, в котором содержится основная информация об отправителе, адресате и времени отправки. Обычная фильтрация пакетов может только считывать эту информацию. Именно такой подход традиционно использовался старыми брандмауэрами, поскольку они были неспособны обрабатывать другие типы данных достаточно быстро, чтобы не оказывать негативного влияния на производительность сети.

С помощью глубокой проверки пакетов брандмауэры могут преодолеть эти недостатки для более полной проверки пакетов в режиме реального времени. Это позволяет им извлекать или фильтровать информацию за пределами заголовков пакетов для более проактивного и расширенного мониторинга и защиты сети. В условиях постоянно расширяющегося ландшафта киберугроз DPI является мощным аспектом экосистемы сетевой безопасности.