गहन पैकेट निरीक्षण (डीपीआई)नेटवर्क पैकेट ब्रोकर्स (एनपीबी) में बारीक स्तर पर नेटवर्क पैकेट की सामग्री का निरीक्षण और विश्लेषण करने के लिए उपयोग की जाने वाली एक तकनीक है। इसमें नेटवर्क ट्रैफ़िक में विस्तृत जानकारी प्राप्त करने के लिए पैकेट के भीतर पेलोड, हेडर और अन्य प्रोटोकॉल-विशिष्ट जानकारी की जांच करना शामिल है।
डीपीआई सरल हेडर विश्लेषण से आगे जाता है और नेटवर्क के माध्यम से प्रवाहित होने वाले डेटा की गहरी समझ प्रदान करता है। यह HTTP, FTP, SMTP, VoIP, या वीडियो स्ट्रीमिंग प्रोटोकॉल जैसे एप्लिकेशन लेयर प्रोटोकॉल के गहन निरीक्षण की अनुमति देता है। पैकेट के भीतर वास्तविक सामग्री की जांच करके, डीपीआई विशिष्ट अनुप्रयोगों, प्रोटोकॉल या यहां तक कि विशिष्ट डेटा पैटर्न का पता लगा सकता है और पहचान सकता है।
स्रोत पते, गंतव्य पते, स्रोत पोर्ट, गंतव्य पोर्ट और प्रोटोकॉल प्रकारों के पदानुक्रमित विश्लेषण के अलावा, डीपीआई विभिन्न अनुप्रयोगों और उनकी सामग्री की पहचान करने के लिए एप्लिकेशन-लेयर विश्लेषण भी जोड़ता है। जब 1पी पैकेट, टीसीपी या यूडीपी डेटा डीपीआई तकनीक पर आधारित बैंडविड्थ प्रबंधन प्रणाली के माध्यम से प्रवाहित होता है, तो सिस्टम ओएसआई लेयर 7 प्रोटोकॉल में एप्लिकेशन परत जानकारी को पुनर्गठित करने के लिए 1पी पैकेट लोड की सामग्री को पढ़ता है, ताकि सामग्री प्राप्त की जा सके। संपूर्ण एप्लिकेशन प्रोग्राम, और फिर सिस्टम द्वारा परिभाषित प्रबंधन नीति के अनुसार ट्रैफ़िक को आकार देना।
डीपीआई कैसे काम करता है?
पारंपरिक फ़ायरवॉल में अक्सर बड़ी मात्रा में ट्रैफ़िक पर संपूर्ण वास्तविक समय जांच करने के लिए प्रसंस्करण शक्ति का अभाव होता है। जैसे-जैसे प्रौद्योगिकी आगे बढ़ती है, डीपीआई का उपयोग हेडर और डेटा की जांच के लिए अधिक जटिल जांच करने के लिए किया जा सकता है। आमतौर पर, घुसपैठ का पता लगाने वाली प्रणालियों वाले फ़ायरवॉल अक्सर डीपीआई का उपयोग करते हैं। ऐसी दुनिया में जहां डिजिटल जानकारी सर्वोपरि है, डिजिटल जानकारी का हर टुकड़ा छोटे पैकेटों में इंटरनेट पर वितरित किया जाता है। इसमें ईमेल, ऐप के माध्यम से भेजे गए संदेश, देखी गई वेबसाइटें, वीडियो वार्तालाप और बहुत कुछ शामिल हैं। वास्तविक डेटा के अलावा, इन पैकेटों में मेटाडेटा शामिल होता है जो ट्रैफ़िक स्रोत, सामग्री, गंतव्य और अन्य महत्वपूर्ण जानकारी की पहचान करता है। पैकेट फ़िल्टरिंग तकनीक के साथ, डेटा की लगातार निगरानी की जा सकती है और यह सुनिश्चित करने के लिए प्रबंधित किया जा सकता है कि इसे सही जगह पर भेजा जाए। लेकिन नेटवर्क सुरक्षा सुनिश्चित करने के लिए, पारंपरिक पैकेट फ़िल्टरिंग पर्याप्त नहीं है। नेटवर्क प्रबंधन में डीप पैकेट निरीक्षण की कुछ मुख्य विधियाँ नीचे सूचीबद्ध हैं:
मिलान मोड/हस्ताक्षर
प्रत्येक पैकेट को घुसपैठ का पता लगाने वाली प्रणाली (आईडीएस) क्षमताओं वाले फ़ायरवॉल द्वारा ज्ञात नेटवर्क हमलों के डेटाबेस के साथ मिलान के लिए जांचा जाता है। आईडीएस ज्ञात दुर्भावनापूर्ण विशिष्ट पैटर्न की खोज करता है और दुर्भावनापूर्ण पैटर्न पाए जाने पर ट्रैफ़िक को अक्षम कर देता है। हस्ताक्षर मिलान नीति का नुकसान यह है कि यह केवल उन हस्ताक्षरों पर लागू होता है जिन्हें बार-बार अद्यतन किया जाता है। इसके अलावा, यह तकनीक केवल ज्ञात खतरों या हमलों से बचाव कर सकती है।
प्रोटोकॉल अपवाद
चूंकि प्रोटोकॉल अपवाद तकनीक केवल उन सभी डेटा की अनुमति नहीं देती है जो हस्ताक्षर डेटाबेस से मेल नहीं खाते हैं, आईडीएस फ़ायरवॉल द्वारा उपयोग की जाने वाली प्रोटोकॉल अपवाद तकनीक में पैटर्न/हस्ताक्षर मिलान विधि की अंतर्निहित खामियां नहीं हैं। इसके बजाय, यह डिफ़ॉल्ट अस्वीकृति नीति अपनाता है। प्रोटोकॉल परिभाषा के अनुसार, फ़ायरवॉल तय करते हैं कि किस ट्रैफ़िक की अनुमति दी जानी चाहिए और नेटवर्क को अज्ञात खतरों से बचाते हैं।
घुसपैठ रोकथाम प्रणाली (आईपीएस)
आईपीएस समाधान हानिकारक पैकेटों के प्रसारण को उनकी सामग्री के आधार पर रोक सकते हैं, जिससे वास्तविक समय में संदिग्ध हमलों को रोका जा सकता है। इसका मतलब यह है कि यदि कोई पैकेट ज्ञात सुरक्षा जोखिम का प्रतिनिधित्व करता है, तो आईपीएस नियमों के परिभाषित सेट के आधार पर नेटवर्क ट्रैफ़िक को सक्रिय रूप से अवरुद्ध कर देगा। आईपीएस का एक नुकसान नए खतरों और झूठी सकारात्मकता की संभावना के बारे में विवरण के साथ साइबर खतरे डेटाबेस को नियमित रूप से अपडेट करने की आवश्यकता है। लेकिन इस खतरे को रूढ़िवादी नीतियां और कस्टम सीमाएं बनाकर, नेटवर्क घटकों के लिए उचित आधारभूत व्यवहार स्थापित करके और निगरानी और सतर्कता बढ़ाने के लिए समय-समय पर चेतावनियों और रिपोर्ट की गई घटनाओं का मूल्यांकन करके कम किया जा सकता है।
1- नेटवर्क पैकेट ब्रोकर में डीपीआई (डीप पैकेट इंस्पेक्शन)।
"गहरा" स्तर और साधारण पैकेट विश्लेषण तुलना है, "साधारण पैकेट निरीक्षण" केवल आईपी पैकेट 4 परत का निम्नलिखित विश्लेषण है, जिसमें स्रोत पता, गंतव्य पता, स्रोत पोर्ट, गंतव्य पोर्ट और प्रोटोकॉल प्रकार और डीपीआई शामिल हैं, पदानुक्रमित को छोड़कर विश्लेषण, अनुप्रयोग परत विश्लेषण में भी वृद्धि हुई, मुख्य कार्यों को साकार करने के लिए विभिन्न अनुप्रयोगों और सामग्री की पहचान की गई:
1) अनुप्रयोग विश्लेषण - नेटवर्क ट्रैफ़िक संरचना विश्लेषण, प्रदर्शन विश्लेषण और प्रवाह विश्लेषण
2) उपयोगकर्ता विश्लेषण - उपयोगकर्ता समूह भेदभाव, व्यवहार विश्लेषण, टर्मिनल विश्लेषण, प्रवृत्ति विश्लेषण, आदि।
3) नेटवर्क तत्व विश्लेषण - क्षेत्रीय विशेषताओं (शहर, जिला, सड़क, आदि) और बेस स्टेशन लोड के आधार पर विश्लेषण
4) यातायात नियंत्रण - पी2पी गति सीमित करना, क्यूओएस आश्वासन, बैंडविड्थ आश्वासन, नेटवर्क संसाधन अनुकूलन, आदि।
5) सुरक्षा आश्वासन - DDoS हमले, डेटा प्रसारण तूफान, दुर्भावनापूर्ण वायरस हमलों की रोकथाम, आदि।
2- नेटवर्क अनुप्रयोगों का सामान्य वर्गीकरण
आज इंटरनेट पर अनगिनत एप्लिकेशन हैं, लेकिन सामान्य वेब एप्लिकेशन संपूर्ण हो सकते हैं।
जहां तक मुझे पता है, सबसे अच्छी ऐप पहचानने वाली कंपनी Huawei है, जो 4,000 ऐप्स को पहचानने का दावा करती है। प्रोटोकॉल विश्लेषण कई फ़ायरवॉल कंपनियों (हुआवेई, जेडटीई, आदि) का मूल मॉड्यूल है, और यह एक बहुत ही महत्वपूर्ण मॉड्यूल भी है, जो अन्य कार्यात्मक मॉड्यूल की प्राप्ति, सटीक एप्लिकेशन पहचान का समर्थन करता है, और उत्पादों के प्रदर्शन और विश्वसनीयता में काफी सुधार करता है। नेटवर्क ट्रैफ़िक विशेषताओं के आधार पर मैलवेयर पहचान मॉडलिंग में, जैसा कि मैं अभी कर रहा हूं, सटीक और व्यापक प्रोटोकॉल पहचान भी बहुत महत्वपूर्ण है। कंपनी के निर्यात ट्रैफ़िक से सामान्य एप्लिकेशन के नेटवर्क ट्रैफ़िक को छोड़कर, शेष ट्रैफ़िक एक छोटे अनुपात में होगा, जो मैलवेयर विश्लेषण और अलार्म के लिए बेहतर है।
मेरे अनुभव के आधार पर, मौजूदा आमतौर पर उपयोग किए जाने वाले अनुप्रयोगों को उनके कार्यों के अनुसार वर्गीकृत किया गया है:
पुनश्च: एप्लिकेशन वर्गीकरण की व्यक्तिगत समझ के अनुसार, आपके पास कोई अच्छा सुझाव हो तो संदेश प्रस्ताव छोड़ने के लिए आपका स्वागत है
1). ई-मेल
2). वीडियो
3). खेल
4). कार्यालय OA वर्ग
5). सॉफ्टवेयर अपडेट
6). वित्तीय (बैंक, Alipay)
7). शेयरों
8). सामाजिक संचार (आईएम सॉफ्टवेयर)
9). वेब ब्राउजिंग (संभवतः यूआरएल से बेहतर पहचानी जाती है)
10). डाउनलोड टूल (वेब डिस्क, पी2पी डाउनलोड, बीटी संबंधित)
फिर, एनपीबी में डीपीआई (डीप पैकेट इंस्पेक्शन) कैसे काम करता है:
1). पैकेट कैप्चर: एनपीबी विभिन्न स्रोतों, जैसे स्विच, राउटर या टैप से नेटवर्क ट्रैफ़िक कैप्चर करता है। यह नेटवर्क के माध्यम से बहने वाले पैकेट प्राप्त करता है।
2). पैकेट पार्सिंग: विभिन्न प्रोटोकॉल परतों और संबंधित डेटा को निकालने के लिए कैप्चर किए गए पैकेटों को एनपीबी द्वारा पार्स किया जाता है। यह पार्सिंग प्रक्रिया पैकेट के भीतर विभिन्न घटकों, जैसे ईथरनेट हेडर, आईपी हेडर, ट्रांसपोर्ट लेयर हेडर (जैसे, टीसीपी या यूडीपी), और एप्लिकेशन लेयर प्रोटोकॉल की पहचान करने में मदद करती है।
3). पेलोड विश्लेषण: डीपीआई के साथ, एनपीबी हेडर निरीक्षण से परे जाता है और पैकेट के भीतर वास्तविक डेटा सहित पेलोड पर ध्यान केंद्रित करता है। यह प्रासंगिक जानकारी निकालने के लिए उपयोग किए गए एप्लिकेशन या प्रोटोकॉल के बावजूद, पेलोड सामग्री की गहराई से जांच करता है।
4). प्रोटोकॉल पहचान: डीपीआई एनपीबी को नेटवर्क ट्रैफ़िक के भीतर उपयोग किए जा रहे विशिष्ट प्रोटोकॉल और अनुप्रयोगों की पहचान करने में सक्षम बनाता है। यह HTTP, FTP, SMTP, DNS, VoIP, या वीडियो स्ट्रीमिंग प्रोटोकॉल जैसे प्रोटोकॉल का पता लगा सकता है और वर्गीकृत कर सकता है।
5). सामग्री निरीक्षण: डीपीआई एनपीबी को विशिष्ट पैटर्न, हस्ताक्षर या कीवर्ड के लिए पैकेट की सामग्री का निरीक्षण करने की अनुमति देता है। यह मैलवेयर, वायरस, घुसपैठ के प्रयास या संदिग्ध गतिविधियों जैसे नेटवर्क खतरों का पता लगाने में सक्षम बनाता है। डीपीआई का उपयोग सामग्री फ़िल्टरिंग, नेटवर्क नीतियों को लागू करने या डेटा अनुपालन उल्लंघनों की पहचान करने के लिए भी किया जा सकता है।
6). मेटाडेटा निष्कर्षण: डीपीआई के दौरान, एनपीबी पैकेट से प्रासंगिक मेटाडेटा निकालता है। इसमें स्रोत और गंतव्य आईपी पते, पोर्ट नंबर, सत्र विवरण, लेनदेन डेटा, या कोई अन्य प्रासंगिक विशेषताएँ जैसी जानकारी शामिल हो सकती है।
7). ट्रैफ़िक रूटिंग या फ़िल्टरिंग: डीपीआई विश्लेषण के आधार पर, एनपीबी विशिष्ट पैकेटों को आगे की प्रक्रिया के लिए निर्दिष्ट गंतव्यों, जैसे सुरक्षा उपकरण, निगरानी उपकरण या एनालिटिक्स प्लेटफ़ॉर्म पर रूट कर सकता है। यह पहचानी गई सामग्री या पैटर्न के आधार पर पैकेट को त्यागने या पुनर्निर्देशित करने के लिए फ़िल्टरिंग नियम भी लागू कर सकता है।
पोस्ट समय: जून-25-2023