Inspeksi Paket Mendalam (DPI)adalah teknologi yang digunakan dalam Network Packet Broker (NPB) untuk memeriksa dan menganalisis isi paket jaringan secara terperinci. Ini melibatkan pemeriksaan muatan, header, dan informasi spesifik protokol lainnya di dalam paket untuk mendapatkan wawasan mendetail tentang lalu lintas jaringan.
DPI melampaui analisis header sederhana dan memberikan pemahaman mendalam tentang data yang mengalir melalui jaringan. DPI memungkinkan pemeriksaan mendalam terhadap protokol lapisan aplikasi, seperti HTTP, FTP, SMTP, VoIP, atau protokol streaming video. Dengan memeriksa konten aktual dalam paket, DPI dapat mendeteksi dan mengidentifikasi aplikasi, protokol, atau bahkan pola data tertentu.
Selain analisis hierarkis alamat sumber, alamat tujuan, port sumber, port tujuan, dan jenis protokol, DPI juga menambahkan analisis lapisan aplikasi untuk mengidentifikasi berbagai aplikasi dan isinya. Ketika paket 1P, data TCP atau UDP mengalir melalui sistem manajemen bandwidth berbasis teknologi DPI, sistem membaca isi paket 1P untuk mengatur ulang informasi lapisan aplikasi dalam protokol OSI Layer 7, sehingga mendapatkan isi dari keseluruhan program aplikasi, dan kemudian membentuk lalu lintas sesuai dengan kebijakan manajemen yang ditentukan oleh sistem.
Bagaimana cara kerja DPI?
Firewall tradisional seringkali kekurangan daya pemrosesan untuk melakukan pemeriksaan menyeluruh secara real-time pada lalu lintas bervolume besar. Seiring kemajuan teknologi, DPI dapat digunakan untuk melakukan pemeriksaan yang lebih kompleks, termasuk memeriksa header dan data. Biasanya, firewall dengan sistem deteksi intrusi sering menggunakan DPI. Di dunia di mana informasi digital sangat penting, setiap informasi digital dikirimkan melalui internet dalam paket-paket kecil. Ini termasuk email, pesan yang dikirim melalui aplikasi, situs web yang dikunjungi, percakapan video, dan banyak lagi. Selain data aktual, paket-paket ini juga mencakup metadata yang mengidentifikasi sumber lalu lintas, konten, tujuan, dan informasi penting lainnya. Dengan teknologi penyaringan paket, data dapat terus dipantau dan dikelola untuk memastikannya diteruskan ke tempat yang tepat. Namun, untuk memastikan keamanan jaringan, penyaringan paket tradisional saja masih jauh dari cukup. Beberapa metode utama inspeksi paket mendalam dalam manajemen jaringan tercantum di bawah ini:
Mode Pencocokan/Tanda Tangan
Setiap paket diperiksa kecocokannya dengan basis data serangan jaringan yang diketahui oleh firewall dengan kemampuan sistem deteksi intrusi (IDS). IDS mencari pola spesifik berbahaya yang diketahui dan menonaktifkan lalu lintas ketika pola berbahaya ditemukan. Kelemahan kebijakan pencocokan tanda tangan adalah kebijakan ini hanya berlaku untuk tanda tangan yang sering diperbarui. Selain itu, teknologi ini hanya dapat bertahan dari ancaman atau serangan yang diketahui.
Pengecualian Protokol
Karena teknik pengecualian protokol tidak mengizinkan semua data yang tidak cocok dengan basis data tanda tangan, teknik pengecualian protokol yang digunakan oleh firewall IDS tidak memiliki kelemahan inheren dari metode pencocokan pola/tanda tangan. Sebaliknya, teknik ini mengadopsi kebijakan penolakan default. Berdasarkan definisi protokol, firewall memutuskan lalu lintas apa yang seharusnya diizinkan dan melindungi jaringan dari ancaman yang tidak diketahui.
Sistem Pencegahan Intrusi (IPS)
Solusi IPS dapat memblokir transmisi paket berbahaya berdasarkan kontennya, sehingga menghentikan dugaan serangan secara real-time. Artinya, jika sebuah paket menunjukkan risiko keamanan yang diketahui, IPS akan secara proaktif memblokir lalu lintas jaringan berdasarkan serangkaian aturan yang telah ditentukan. Salah satu kelemahan IPS adalah kebutuhan untuk memperbarui basis data ancaman siber secara berkala dengan detail tentang ancaman baru, dan kemungkinan positif palsu. Namun, bahaya ini dapat dikurangi dengan membuat kebijakan konservatif dan ambang batas khusus, menetapkan perilaku dasar yang sesuai untuk komponen jaringan, dan mengevaluasi peringatan serta kejadian yang dilaporkan secara berkala untuk meningkatkan pemantauan dan peringatan.
1- DPI (Deep Packet Inspection) di Network Packet Broker
"Deep" adalah perbandingan analisis paket tingkat tinggi dan biasa. "Pemeriksaan paket biasa" hanya menganalisis paket IP lapis ke-4 berikut, termasuk alamat sumber, alamat tujuan, port sumber, port tujuan, jenis protokol, dan DPI. Selain analisis hierarkis, analisis lapisan aplikasi juga ditingkatkan untuk mengidentifikasi berbagai aplikasi dan konten, dan mewujudkan fungsi-fungsi utama:
1) Analisis Aplikasi -- analisis komposisi lalu lintas jaringan, analisis kinerja, dan analisis aliran
2) Analisis Pengguna -- diferensiasi kelompok pengguna, analisis perilaku, analisis terminal, analisis tren, dll.
3) Analisis Elemen Jaringan -- analisis berdasarkan atribut regional (kota, distrik, jalan, dll.) dan beban stasiun pangkalan
4) Kontrol Lalu Lintas -- Pembatasan kecepatan P2P, jaminan QoS, jaminan bandwidth, pengoptimalan sumber daya jaringan, dll.
5) Jaminan Keamanan -- Serangan DDoS, badai siaran data, pencegahan serangan virus berbahaya, dll.
2- Klasifikasi Umum Aplikasi Jaringan
Saat ini ada banyak sekali aplikasi di Internet, tetapi aplikasi web yang umum bisa jadi lengkap.
Setahu saya, perusahaan pengenalan aplikasi terbaik adalah Huawei, yang mengklaim mampu mengenali 4.000 aplikasi. Analisis protokol merupakan modul dasar dari banyak perusahaan firewall (Huawei, ZTE, dll.), dan juga merupakan modul yang sangat penting, mendukung realisasi modul fungsional lainnya, identifikasi aplikasi yang akurat, dan sangat meningkatkan kinerja serta keandalan produk. Dalam pemodelan identifikasi malware berdasarkan karakteristik lalu lintas jaringan, seperti yang sedang saya lakukan, identifikasi protokol yang akurat dan ekstensif juga sangat penting. Dengan mengecualikan lalu lintas jaringan aplikasi umum dari lalu lintas ekspor perusahaan, lalu lintas yang tersisa akan menyumbang sebagian kecil, yang lebih baik untuk analisis dan alarm malware.
Berdasarkan pengalaman saya, aplikasi-aplikasi yang umum digunakan saat ini diklasifikasikan menurut fungsinya:
PS: Menurut pemahaman pribadi tentang klasifikasi aplikasi, Anda memiliki saran bagus, silakan tinggalkan pesan proposal
1) Surel
2) Video
3) Permainan
4) Kelas OA Kantor
5) Pembaruan perangkat lunak
6) Keuangan (bank, Alipay)
7) Saham
8). Komunikasi Sosial (perangkat lunak IM)
9). Penjelajahan web (mungkin lebih baik diidentifikasi dengan URL)
10). Alat unduh (web disk, unduhan P2P, terkait BT)
Lalu, bagaimana DPI (Deep Packet Inspection) bekerja di NPB:
1) Penangkapan Paket: NPB menangkap lalu lintas jaringan dari berbagai sumber, seperti switch, router, atau tap. NPB menerima paket yang mengalir melalui jaringan.
2) Penguraian Paket: Paket yang ditangkap diurai oleh NPB untuk mengekstrak berbagai lapisan protokol dan data terkait. Proses penguraian ini membantu mengidentifikasi berbagai komponen di dalam paket, seperti header Ethernet, header IP, header lapisan transport (misalnya, TCP atau UDP), dan protokol lapisan aplikasi.
3) Analisis Muatan: Dengan DPI, NPB melampaui inspeksi header dan berfokus pada muatan, termasuk data aktual di dalam paket. NPB memeriksa konten muatan secara mendalam, terlepas dari aplikasi atau protokol yang digunakan, untuk mengekstrak informasi yang relevan.
4) Identifikasi Protokol: DPI memungkinkan NPB untuk mengidentifikasi protokol dan aplikasi spesifik yang digunakan dalam lalu lintas jaringan. DPI dapat mendeteksi dan mengklasifikasikan protokol seperti HTTP, FTP, SMTP, DNS, VoIP, atau protokol streaming video.
5) Inspeksi Konten: DPI memungkinkan NPB untuk memeriksa konten paket untuk pola, tanda tangan, atau kata kunci tertentu. Hal ini memungkinkan deteksi ancaman jaringan, seperti malware, virus, upaya intrusi, atau aktivitas mencurigakan. DPI juga dapat digunakan untuk penyaringan konten, penegakan kebijakan jaringan, atau mengidentifikasi pelanggaran kepatuhan data.
6) Ekstraksi Metadata: Selama DPI, NPB mengekstrak metadata yang relevan dari paket-paket. Ini dapat mencakup informasi seperti alamat IP sumber dan tujuan, nomor port, detail sesi, data transaksi, atau atribut relevan lainnya.
7) Perutean atau Penyaringan Lalu Lintas: Berdasarkan analisis DPI, NPB dapat merutekan paket tertentu ke tujuan yang ditentukan untuk diproses lebih lanjut, seperti perangkat keamanan, alat pemantauan, atau platform analitik. NPB juga dapat menerapkan aturan penyaringan untuk membuang atau mengalihkan paket berdasarkan konten atau pola yang teridentifikasi.
Waktu posting: 25-Jun-2023
