डीप पैकेट निरीक्षण (डीपीआई)यह एक ऐसी तकनीक है जिसका उपयोग नेटवर्क पैकेट ब्रोकर्स (एनपीबी) में नेटवर्क पैकेट की सामग्री का सूक्ष्म स्तर पर निरीक्षण और विश्लेषण करने के लिए किया जाता है। इसमें नेटवर्क ट्रैफ़िक की विस्तृत जानकारी प्राप्त करने के लिए पैकेट के भीतर पेलोड, हेडर और अन्य प्रोटोकॉल-विशिष्ट जानकारी की जांच करना शामिल है।
डीपीआई केवल हेडर विश्लेषण से कहीं आगे बढ़कर नेटवर्क में प्रवाहित होने वाले डेटा की गहन समझ प्रदान करता है। यह HTTP, FTP, SMTP, VoIP या वीडियो स्ट्रीमिंग प्रोटोकॉल जैसे एप्लिकेशन लेयर प्रोटोकॉल का गहन निरीक्षण करने की सुविधा देता है। पैकेट के भीतर मौजूद वास्तविक सामग्री की जांच करके, डीपीआई विशिष्ट एप्लिकेशन, प्रोटोकॉल या यहां तक कि विशिष्ट डेटा पैटर्न का पता लगा सकता है और उनकी पहचान कर सकता है।
स्रोत पतों, गंतव्य पतों, स्रोत पोर्ट, गंतव्य पोर्ट और प्रोटोकॉल प्रकारों के पदानुक्रमित विश्लेषण के अतिरिक्त, डीपीआई विभिन्न अनुप्रयोगों और उनकी सामग्री की पहचान करने के लिए अनुप्रयोग-स्तर विश्लेषण भी करता है। जब 1P पैकेट, TCP या UDP डेटा डीपीआई तकनीक पर आधारित बैंडविड्थ प्रबंधन प्रणाली से होकर गुजरता है, तो सिस्टम 1P पैकेट लोड की सामग्री को पढ़कर OSI लेयर 7 प्रोटोकॉल में अनुप्रयोग स्तर की जानकारी को पुनर्गठित करता है, जिससे संपूर्ण अनुप्रयोग प्रोग्राम की सामग्री प्राप्त होती है, और फिर सिस्टम द्वारा परिभाषित प्रबंधन नीति के अनुसार ट्रैफ़िक को आकार देता है।
डीपीआई कैसे काम करता है?
परंपरागत फ़ायरवॉल में अक्सर भारी मात्रा में ट्रैफ़िक पर संपूर्ण रीयल-टाइम जाँच करने के लिए पर्याप्त प्रोसेसिंग क्षमता नहीं होती है। जैसे-जैसे तकनीक उन्नत होती है, डीप पैकेट इंस्पेक्शन (DPI) का उपयोग हेडर और डेटा की जाँच करने के लिए अधिक जटिल जाँच करने हेतु किया जा सकता है। आमतौर पर, घुसपैठ का पता लगाने वाली प्रणालियों वाले फ़ायरवॉल DPI का उपयोग करते हैं। आज की दुनिया में जहाँ डिजिटल जानकारी सर्वोपरि है, वहाँ डिजिटल जानकारी का प्रत्येक अंश इंटरनेट पर छोटे पैकेटों में भेजा जाता है। इसमें ईमेल, ऐप के माध्यम से भेजे गए संदेश, देखी गई वेबसाइटें, वीडियो वार्तालाप आदि शामिल हैं। वास्तविक डेटा के अलावा, इन पैकेटों में मेटाडेटा भी होता है जो ट्रैफ़िक स्रोत, सामग्री, गंतव्य और अन्य महत्वपूर्ण जानकारी की पहचान करता है। पैकेट फ़िल्टरिंग तकनीक से डेटा की निरंतर निगरानी और प्रबंधन किया जा सकता है ताकि यह सुनिश्चित हो सके कि इसे सही स्थान पर भेजा जा रहा है। लेकिन नेटवर्क सुरक्षा सुनिश्चित करने के लिए परंपरागत पैकेट फ़िल्टरिंग पर्याप्त नहीं है। नेटवर्क प्रबंधन में डीप पैकेट इंस्पेक्शन की कुछ मुख्य विधियाँ नीचे दी गई हैं:
मिलान मोड/हस्ताक्षर
प्रत्येक पैकेट की जांच फ़ायरवॉल द्वारा ज्ञात नेटवर्क हमलों के डेटाबेस से मिलान के लिए की जाती है, जिसमें घुसपैठ पहचान प्रणाली (IDS) की क्षमता होती है। IDS ज्ञात दुर्भावनापूर्ण विशिष्ट पैटर्न की खोज करता है और दुर्भावनापूर्ण पैटर्न पाए जाने पर ट्रैफ़िक को अक्षम कर देता है। सिग्नेचर मिलान नीति की कमी यह है कि यह केवल उन सिग्नेचर पर लागू होती है जिन्हें बार-बार अपडेट किया जाता है। इसके अलावा, यह तकनीक केवल ज्ञात खतरों या हमलों से ही बचाव कर सकती है।
प्रोटोकॉल अपवाद
प्रोटोकॉल अपवाद तकनीक डेटाबेस के हस्ताक्षर से मेल न खाने वाले सभी डेटा को सीधे अनुमति नहीं देती है, इसलिए IDS फ़ायरवॉल द्वारा उपयोग की जाने वाली प्रोटोकॉल अपवाद तकनीक में पैटर्न/हस्ताक्षर मिलान विधि की अंतर्निहित कमियाँ नहीं होती हैं। इसके बजाय, यह डिफ़ॉल्ट अस्वीकृति नीति को अपनाती है। प्रोटोकॉल परिभाषा के अनुसार, फ़ायरवॉल यह तय करते हैं कि किस ट्रैफ़िक को अनुमति दी जानी चाहिए और नेटवर्क को अज्ञात खतरों से सुरक्षित रखते हैं।
घुसपैठ रोकथाम प्रणाली (आईपीएस)
आईपीएस समाधान हानिकारक पैकेटों के संचरण को उनकी सामग्री के आधार पर अवरुद्ध कर सकते हैं, जिससे संदिग्ध हमलों को वास्तविक समय में रोका जा सकता है। इसका अर्थ है कि यदि कोई पैकेट ज्ञात सुरक्षा जोखिम को दर्शाता है, तो आईपीएस परिभाषित नियमों के एक समूह के आधार पर नेटवर्क ट्रैफ़िक को सक्रिय रूप से अवरुद्ध कर देगा। आईपीएस का एक नुकसान यह है कि साइबर खतरे के डेटाबेस को नए खतरों के विवरण के साथ नियमित रूप से अपडेट करने की आवश्यकता होती है, और गलत पहचान की संभावना रहती है। लेकिन इस खतरे को रूढ़िवादी नीतियां और कस्टम सीमाएं बनाकर, नेटवर्क घटकों के लिए उपयुक्त आधारभूत व्यवहार स्थापित करके, और निगरानी और अलर्टिंग को बढ़ाने के लिए चेतावनियों और रिपोर्ट की गई घटनाओं का समय-समय पर मूल्यांकन करके कम किया जा सकता है।
1- नेटवर्क पैकेट ब्रोकर में डीपीआई (डीप पैकेट इंस्पेक्शन)
"डीप" विश्लेषण में स्तर और सामान्य पैकेट विश्लेषण की तुलना की जाती है, जबकि "सामान्य पैकेट निरीक्षण" में आईपी पैकेट की 4 परतों का विश्लेषण किया जाता है, जिसमें स्रोत पता, गंतव्य पता, स्रोत पोर्ट, गंतव्य पोर्ट और प्रोटोकॉल प्रकार, और डीपीआई शामिल हैं। पदानुक्रमित विश्लेषण के अलावा, इसमें अनुप्रयोग परत का विश्लेषण भी शामिल होता है, जिससे विभिन्न अनुप्रयोगों और सामग्री की पहचान की जा सके और मुख्य कार्यों को पूरा किया जा सके।
1) अनुप्रयोग विश्लेषण -- नेटवर्क ट्रैफ़िक संरचना विश्लेषण, प्रदर्शन विश्लेषण और प्रवाह विश्लेषण
2) उपयोगकर्ता विश्लेषण - उपयोगकर्ता समूह का वर्गीकरण, व्यवहार विश्लेषण, अंतिम विश्लेषण, प्रवृत्ति विश्लेषण आदि।
3) नेटवर्क तत्व विश्लेषण -- क्षेत्रीय विशेषताओं (शहर, जिला, गली आदि) और बेस स्टेशन लोड के आधार पर विश्लेषण
4) ट्रैफ़िक नियंत्रण -- पी2पी गति सीमा, क्यूओएस आश्वासन, बैंडविड्थ आश्वासन, नेटवर्क संसाधन अनुकूलन, आदि।
5) सुरक्षा आश्वासन - डीडीओएस हमले, डेटा ब्रॉडकास्ट स्टॉर्म, दुर्भावनापूर्ण वायरस हमलों की रोकथाम आदि।
2- नेटवर्क अनुप्रयोगों का सामान्य वर्गीकरण
आज इंटरनेट पर अनगिनत एप्लिकेशन मौजूद हैं, लेकिन सामान्य वेब एप्लिकेशन की सूची भी व्यापक हो सकती है।
मेरी जानकारी के अनुसार, ऐप पहचान के मामले में सबसे अच्छी कंपनी हुआवेई है, जो 4,000 ऐप्स को पहचानने का दावा करती है। प्रोटोकॉल विश्लेषण कई फ़ायरवॉल कंपनियों (हुआवेई, ज़ेडटीई, आदि) का मूलभूत मॉड्यूल है, और यह एक बहुत ही महत्वपूर्ण मॉड्यूल भी है, जो अन्य कार्यात्मक मॉड्यूल के कार्यान्वयन, सटीक एप्लिकेशन पहचान और उत्पादों के प्रदर्शन और विश्वसनीयता में काफी सुधार करने में सहायक होता है। नेटवर्क ट्रैफ़िक विशेषताओं के आधार पर मैलवेयर पहचान का मॉडल तैयार करने में, जैसा कि मैं अभी कर रहा हूँ, सटीक और व्यापक प्रोटोकॉल पहचान भी बहुत महत्वपूर्ण है। कंपनी के निर्यात ट्रैफ़िक से सामान्य एप्लिकेशन के नेटवर्क ट्रैफ़िक को हटाने पर, शेष ट्रैफ़िक का अनुपात कम होगा, जो मैलवेयर विश्लेषण और चेतावनी के लिए बेहतर है।
मेरे अनुभव के आधार पर, वर्तमान में आमतौर पर उपयोग किए जाने वाले अनुप्रयोगों को उनके कार्यों के अनुसार वर्गीकृत किया गया है:
पी.एस.: आवेदन के वर्गीकरण के बारे में मेरी व्यक्तिगत समझ के अनुसार, यदि आपके पास कोई अच्छे सुझाव हैं तो कृपया संदेश भेजकर प्रस्ताव दें।
1). ईमेल
2). वीडियो
3). खेल
4). ऑफिस ओए क्लास
5). सॉफ्टवेयर अपडेट
6). वित्तीय (बैंक, अलीपे)
7). स्टॉक
8). सामाजिक संचार (आईएम सॉफ्टवेयर)
9). वेब ब्राउज़िंग (संभवतः यूआरएल के साथ बेहतर ढंग से पहचाना जा सकता है)
10). डाउनलोड टूल्स (वेब डिस्क, पी2पी डाउनलोड, ब्लूटूथ से संबंधित)
तो, एनपीबी में डीपीआई (डीप पैकेट इंस्पेक्शन) कैसे काम करता है:
1). पैकेट कैप्चर: एनपीबी विभिन्न स्रोतों, जैसे स्विच, राउटर या टैप से नेटवर्क ट्रैफ़िक को कैप्चर करता है। यह नेटवर्क के माध्यम से प्रवाहित होने वाले पैकेट प्राप्त करता है।
2). पैकेट पार्सिंग: कैप्चर किए गए पैकेटों को NPB द्वारा पार्स किया जाता है ताकि विभिन्न प्रोटोकॉल लेयर्स और संबंधित डेटा को निकाला जा सके। यह पार्सिंग प्रक्रिया पैकेटों के भीतर विभिन्न घटकों, जैसे कि ईथरनेट हेडर, आईपी हेडर, ट्रांसपोर्ट लेयर हेडर (उदाहरण के लिए, TCP या UDP), और एप्लिकेशन लेयर प्रोटोकॉल की पहचान करने में मदद करती है।
3). पेलोड विश्लेषण: डीपीआई के साथ, एनपीबी हेडर निरीक्षण से आगे बढ़कर पेलोड पर ध्यान केंद्रित करता है, जिसमें पैकेट के भीतर मौजूद वास्तविक डेटा भी शामिल होता है। यह प्रासंगिक जानकारी निकालने के लिए, उपयोग किए गए एप्लिकेशन या प्रोटोकॉल की परवाह किए बिना, पेलोड सामग्री की गहराई से जांच करता है।
4). प्रोटोकॉल पहचान: डीपीआई एनपीबी को नेटवर्क ट्रैफ़िक में उपयोग किए जा रहे विशिष्ट प्रोटोकॉल और अनुप्रयोगों की पहचान करने में सक्षम बनाता है। यह HTTP, FTP, SMTP, DNS, VoIP या वीडियो स्ट्रीमिंग प्रोटोकॉल जैसे प्रोटोकॉल का पता लगा सकता है और उन्हें वर्गीकृत कर सकता है।
5). सामग्री निरीक्षण: डीपीआई (डेटा प्रोटेक्शन इंडिकेटर) एनपीबी को पैकेट की सामग्री में विशिष्ट पैटर्न, सिग्नेचर या कीवर्ड की जांच करने की अनुमति देता है। इससे मैलवेयर, वायरस, घुसपैठ के प्रयास या संदिग्ध गतिविधियों जैसे नेटवर्क खतरों का पता लगाना संभव होता है। डीपीआई का उपयोग सामग्री फ़िल्टरिंग, नेटवर्क नीतियों को लागू करने या डेटा अनुपालन उल्लंघनों की पहचान करने के लिए भी किया जा सकता है।
6). मेटाडेटा निष्कर्षण: डीपीआई के दौरान, एनपीबी पैकेट से प्रासंगिक मेटाडेटा निकालता है। इसमें स्रोत और गंतव्य आईपी पते, पोर्ट नंबर, सत्र विवरण, लेनदेन डेटा, या कोई अन्य प्रासंगिक विशेषताएँ जैसी जानकारी शामिल हो सकती है।
7). ट्रैफ़िक रूटिंग या फ़िल्टरिंग: डीपीआई विश्लेषण के आधार पर, एनपीबी विशिष्ट पैकेटों को आगे की प्रक्रिया के लिए निर्दिष्ट गंतव्यों, जैसे सुरक्षा उपकरण, निगरानी उपकरण या विश्लेषण प्लेटफॉर्म, तक पहुंचा सकता है। यह पहचाने गए कंटेंट या पैटर्न के आधार पर पैकेटों को अस्वीकार करने या पुनर्निर्देशित करने के लिए फ़िल्टरिंग नियम भी लागू कर सकता है।
पोस्ट करने का समय: 25 जून 2023
