गहन पैकेट निरीक्षण (डीपीआई)नेटवर्क पैकेट ब्रोकर्स (एनपीबी) में इस्तेमाल की जाने वाली एक तकनीक है जिसका उपयोग नेटवर्क पैकेट की सामग्री का सूक्ष्म स्तर पर निरीक्षण और विश्लेषण करने के लिए किया जाता है। इसमें नेटवर्क ट्रैफ़िक की विस्तृत जानकारी प्राप्त करने के लिए पैकेट के भीतर पेलोड, हेडर और अन्य प्रोटोकॉल-विशिष्ट जानकारी की जाँच की जाती है।
DPI केवल हेडर विश्लेषण से आगे बढ़कर नेटवर्क में प्रवाहित होने वाले डेटा की गहन समझ प्रदान करता है। यह HTTP, FTP, SMTP, VoIP, या वीडियो स्ट्रीमिंग प्रोटोकॉल जैसे एप्लिकेशन लेयर प्रोटोकॉल का गहन निरीक्षण करने की अनुमति देता है। पैकेट के भीतर वास्तविक सामग्री की जाँच करके, DPI विशिष्ट एप्लिकेशन, प्रोटोकॉल या यहाँ तक कि विशिष्ट डेटा पैटर्न का पता लगा सकता है और उनकी पहचान कर सकता है।
स्रोत पतों, गंतव्य पतों, स्रोत पोर्ट, गंतव्य पोर्ट और प्रोटोकॉल प्रकारों के पदानुक्रमित विश्लेषण के अलावा, DPI विभिन्न अनुप्रयोगों और उनकी सामग्री की पहचान करने के लिए अनुप्रयोग-स्तर विश्लेषण भी जोड़ता है। जब 1P पैकेट, TCP या UDP डेटा DPI तकनीक पर आधारित बैंडविड्थ प्रबंधन प्रणाली से होकर गुजरता है, तो सिस्टम 1P पैकेट लोड की सामग्री को पढ़कर OSI लेयर 7 प्रोटोकॉल में अनुप्रयोग-स्तर की जानकारी को पुनर्गठित करता है, जिससे संपूर्ण अनुप्रयोग प्रोग्राम की सामग्री प्राप्त होती है, और फिर सिस्टम द्वारा परिभाषित प्रबंधन नीति के अनुसार ट्रैफ़िक को आकार देता है।
डीपीआई कैसे काम करता है?
पारंपरिक फ़ायरवॉल में अक्सर बड़ी मात्रा में ट्रैफ़िक की वास्तविक समय में गहन जाँच करने की संसाधन क्षमता का अभाव होता है। जैसे-जैसे तकनीक आगे बढ़ती है, हेडर और डेटा की जाँच के लिए अधिक जटिल जाँच करने हेतु DPI का उपयोग किया जा सकता है। आमतौर पर, घुसपैठ का पता लगाने वाले सिस्टम वाले फ़ायरवॉल अक्सर DPI का उपयोग करते हैं। ऐसी दुनिया में जहाँ डिजिटल जानकारी सर्वोपरि है, डिजिटल जानकारी का हर टुकड़ा इंटरनेट पर छोटे पैकेटों में वितरित किया जाता है। इसमें ईमेल, ऐप के माध्यम से भेजे गए संदेश, देखी गई वेबसाइटें, वीडियो वार्तालाप, आदि शामिल हैं। वास्तविक डेटा के अलावा, इन पैकेटों में मेटाडेटा भी शामिल होता है जो ट्रैफ़िक स्रोत, सामग्री, गंतव्य और अन्य महत्वपूर्ण जानकारी की पहचान करता है। पैकेट फ़िल्टरिंग तकनीक से, डेटा की निरंतर निगरानी और प्रबंधन किया जा सकता है ताकि यह सुनिश्चित हो सके कि इसे सही जगह पर भेजा जाए। लेकिन नेटवर्क सुरक्षा सुनिश्चित करने के लिए, पारंपरिक पैकेट फ़िल्टरिंग पर्याप्त नहीं है। नेटवर्क प्रबंधन में गहन पैकेट निरीक्षण के कुछ मुख्य तरीके नीचे सूचीबद्ध हैं:
मिलान मोड/हस्ताक्षर
प्रत्येक पैकेट की जाँच, घुसपैठ पहचान प्रणाली (IDS) क्षमताओं वाले फ़ायरवॉल द्वारा ज्ञात नेटवर्क हमलों के डेटाबेस से मिलान के लिए की जाती है। IDS ज्ञात दुर्भावनापूर्ण विशिष्ट पैटर्न की खोज करता है और दुर्भावनापूर्ण पैटर्न पाए जाने पर ट्रैफ़िक को अक्षम कर देता है। हस्ताक्षर मिलान नीति का नुकसान यह है कि यह केवल उन हस्ताक्षरों पर लागू होती है जिन्हें बार-बार अपडेट किया जाता है। इसके अलावा, यह तकनीक केवल ज्ञात खतरों या हमलों से ही बचाव कर सकती है।
प्रोटोकॉल अपवाद
चूँकि प्रोटोकॉल अपवाद तकनीक केवल उन सभी डेटा को अनुमति नहीं देती जो हस्ताक्षर डेटाबेस से मेल नहीं खाते, इसलिए IDS फ़ायरवॉल द्वारा प्रयुक्त प्रोटोकॉल अपवाद तकनीक में पैटर्न/हस्ताक्षर मिलान विधि की अंतर्निहित खामियाँ नहीं होतीं। इसके बजाय, यह डिफ़ॉल्ट अस्वीकृति नीति अपनाती है। प्रोटोकॉल परिभाषा के अनुसार, फ़ायरवॉल यह तय करते हैं कि किस ट्रैफ़िक को अनुमति दी जानी चाहिए और नेटवर्क को अज्ञात खतरों से बचाते हैं।
घुसपैठ रोकथाम प्रणाली (आईपीएस)
आईपीएस समाधान हानिकारक पैकेटों के प्रसारण को उनकी सामग्री के आधार पर अवरुद्ध कर सकते हैं, जिससे वास्तविक समय में संदिग्ध हमलों को रोका जा सकता है। इसका मतलब है कि अगर कोई पैकेट किसी ज्ञात सुरक्षा जोखिम का प्रतिनिधित्व करता है, तो आईपीएस निर्धारित नियमों के आधार पर नेटवर्क ट्रैफ़िक को सक्रिय रूप से अवरुद्ध कर देगा। आईपीएस का एक नुकसान यह है कि नए खतरों और गलत सकारात्मक परिणामों की संभावना के बारे में विवरण के साथ साइबर खतरे के डेटाबेस को नियमित रूप से अपडेट करने की आवश्यकता होती है। लेकिन रूढ़िवादी नीतियों और कस्टम थ्रेसहोल्ड बनाकर, नेटवर्क घटकों के लिए उपयुक्त आधारभूत व्यवहार स्थापित करके, और निगरानी और चेतावनी को बेहतर बनाने के लिए चेतावनियों और रिपोर्ट की गई घटनाओं का समय-समय पर मूल्यांकन करके इस खतरे को कम किया जा सकता है।
1- नेटवर्क पैकेट ब्रोकर में DPI (डीप पैकेट इंस्पेक्शन)
"गहरी" स्तर और साधारण पैकेट विश्लेषण तुलना है, "साधारण पैकेट निरीक्षण" केवल आईपी पैकेट 4 परत का निम्नलिखित विश्लेषण, स्रोत पता, गंतव्य पता, स्रोत पोर्ट, गंतव्य पोर्ट और प्रोटोकॉल प्रकार, और डीपीआई को छोड़कर पदानुक्रमित विश्लेषण के साथ, आवेदन परत विश्लेषण में भी वृद्धि हुई है, विभिन्न अनुप्रयोगों और सामग्री की पहचान, मुख्य कार्यों का एहसास करने के लिए:
1) अनुप्रयोग विश्लेषण - नेटवर्क ट्रैफ़िक संरचना विश्लेषण, प्रदर्शन विश्लेषण और प्रवाह विश्लेषण
2) उपयोगकर्ता विश्लेषण - उपयोगकर्ता समूह विभेदीकरण, व्यवहार विश्लेषण, टर्मिनल विश्लेषण, प्रवृत्ति विश्लेषण, आदि।
3) नेटवर्क तत्व विश्लेषण - क्षेत्रीय विशेषताओं (शहर, जिला, सड़क, आदि) और बेस स्टेशन लोड पर आधारित विश्लेषण
4) ट्रैफिक नियंत्रण - पी2पी गति सीमा, क्यूओएस आश्वासन, बैंडविड्थ आश्वासन, नेटवर्क संसाधन अनुकूलन, आदि।
5) सुरक्षा आश्वासन - DDoS हमले, डेटा प्रसारण तूफान, दुर्भावनापूर्ण वायरस हमलों की रोकथाम, आदि।
2- नेटवर्क अनुप्रयोगों का सामान्य वर्गीकरण
आज इंटरनेट पर अनगिनत अनुप्रयोग हैं, लेकिन सामान्य वेब अनुप्रयोग बहुत व्यापक हो सकते हैं।
जहाँ तक मुझे पता है, सबसे अच्छी ऐप पहचान कंपनी Huawei है, जो 4,000 ऐप्स को पहचानने का दावा करती है। प्रोटोकॉल विश्लेषण कई फ़ायरवॉल कंपनियों (Huawei, ZTE, आदि) का मूल मॉड्यूल है, और यह एक बहुत ही महत्वपूर्ण मॉड्यूल भी है, जो अन्य कार्यात्मक मॉड्यूल के कार्यान्वयन, सटीक एप्लिकेशन पहचान और उत्पादों के प्रदर्शन और विश्वसनीयता में उल्लेखनीय सुधार का समर्थन करता है। नेटवर्क ट्रैफ़िक विशेषताओं के आधार पर मैलवेयर पहचान के मॉडलिंग में, जैसा कि मैं अभी कर रहा हूँ, सटीक और व्यापक प्रोटोकॉल पहचान भी बहुत महत्वपूर्ण है। कंपनी के निर्यात ट्रैफ़िक से सामान्य एप्लिकेशन के नेटवर्क ट्रैफ़िक को छोड़कर, शेष ट्रैफ़िक का एक छोटा सा हिस्सा होगा, जो मैलवेयर विश्लेषण और अलार्म के लिए बेहतर है।
मेरे अनुभव के आधार पर, मौजूदा सामान्यतः प्रयुक्त अनुप्रयोगों को उनके कार्यों के अनुसार वर्गीकृत किया गया है:
पुनश्च: आवेदन वर्गीकरण की व्यक्तिगत समझ के अनुसार, आपके पास कोई अच्छा सुझाव है एक संदेश प्रस्ताव छोड़ने के लिए आपका स्वागत है
1) ई-मेल
2) वीडियो
3) खेल
4). ऑफिस ओए क्लास
5) सॉफ्टवेयर अपडेट
6). वित्तीय (बैंक, अलीपे)
7) स्टॉक
8) सामाजिक संचार (आईएम सॉफ्टवेयर)
9) वेब ब्राउज़िंग (संभवतः URL से बेहतर पहचान)
10). डाउनलोड टूल्स (वेब डिस्क, पी2पी डाउनलोड, बीटी संबंधित)
तो फिर, NPB में DPI (डीप पैकेट इंस्पेक्शन) कैसे काम करता है:
1) पैकेट कैप्चर: एनपीबी विभिन्न स्रोतों, जैसे स्विच, राउटर या टैप से नेटवर्क ट्रैफ़िक कैप्चर करता है। यह नेटवर्क से प्रवाहित होने वाले पैकेट प्राप्त करता है।
2) पैकेट पार्सिंग: कैप्चर किए गए पैकेटों को NPB द्वारा पार्स किया जाता है ताकि विभिन्न प्रोटोकॉल लेयर्स और संबंधित डेटा निकाला जा सके। यह पार्सिंग प्रक्रिया पैकेट के भीतर विभिन्न घटकों, जैसे ईथरनेट हेडर, IP हेडर, ट्रांसपोर्ट लेयर हेडर (जैसे, TCP या UDP), और एप्लिकेशन लेयर प्रोटोकॉल की पहचान करने में मदद करती है।
3) पेलोड विश्लेषण: डीपीआई के साथ, एनपीबी हेडर निरीक्षण से आगे बढ़कर पैकेट के भीतर मौजूद वास्तविक डेटा सहित पेलोड पर ध्यान केंद्रित करता है। यह प्रासंगिक जानकारी निकालने के लिए, चाहे किसी भी एप्लिकेशन या प्रोटोकॉल का उपयोग किया गया हो, पेलोड सामग्री की गहराई से जाँच करता है।
4) प्रोटोकॉल पहचान: DPI, NPB को नेटवर्क ट्रैफ़िक में उपयोग किए जा रहे विशिष्ट प्रोटोकॉल और अनुप्रयोगों की पहचान करने में सक्षम बनाता है। यह HTTP, FTP, SMTP, DNS, VoIP, या वीडियो स्ट्रीमिंग प्रोटोकॉल जैसे प्रोटोकॉल का पता लगा सकता है और उन्हें वर्गीकृत कर सकता है।
5) सामग्री निरीक्षण: DPI, NPB को विशिष्ट पैटर्न, हस्ताक्षरों या कीवर्ड के लिए पैकेट की सामग्री का निरीक्षण करने की अनुमति देता है। यह मैलवेयर, वायरस, घुसपैठ के प्रयासों या संदिग्ध गतिविधियों जैसे नेटवर्क खतरों का पता लगाने में सक्षम बनाता है। DPI का उपयोग सामग्री फ़िल्टरिंग, नेटवर्क नीतियों को लागू करने या डेटा अनुपालन उल्लंघनों की पहचान करने के लिए भी किया जा सकता है।
6) मेटाडेटा निष्कर्षण: DPI के दौरान, NPB पैकेट से प्रासंगिक मेटाडेटा निकालता है। इसमें स्रोत और गंतव्य IP पते, पोर्ट नंबर, सत्र विवरण, लेन-देन डेटा, या कोई अन्य प्रासंगिक विशेषताएँ जैसी जानकारी शामिल हो सकती है।
7) ट्रैफ़िक रूटिंग या फ़िल्टरिंग: DPI विश्लेषण के आधार पर, NPB विशिष्ट पैकेटों को आगे की प्रक्रिया के लिए निर्दिष्ट गंतव्यों, जैसे सुरक्षा उपकरण, निगरानी उपकरण, या एनालिटिक्स प्लेटफ़ॉर्म, तक रूट कर सकता है। यह पहचानी गई सामग्री या पैटर्न के आधार पर पैकेटों को त्यागने या पुनर्निर्देशित करने के लिए फ़िल्टरिंग नियम भी लागू कर सकता है।
पोस्ट करने का समय: 25 जून 2023
