Inspeksi Paket Mendalam ((DPI)adalah teknologi yang digunakan dalam Network Packet Brokers (NPB) untuk memeriksa dan menganalisis isi paket jaringan pada tingkat yang lebih rinci. Teknologi ini melibatkan pemeriksaan muatan, header, dan informasi khusus protokol lainnya dalam paket untuk mendapatkan wawasan terperinci tentang lalu lintas jaringan.
DPI melampaui analisis header sederhana dan memberikan pemahaman mendalam tentang data yang mengalir melalui jaringan. DPI memungkinkan pemeriksaan mendalam terhadap protokol lapisan aplikasi, seperti HTTP, FTP, SMTP, VoIP, atau protokol streaming video. Dengan memeriksa konten aktual dalam paket, DPI dapat mendeteksi dan mengidentifikasi aplikasi, protokol, atau bahkan pola data tertentu.
Selain analisis hierarkis alamat sumber, alamat tujuan, port sumber, port tujuan, dan jenis protokol, DPI juga menambahkan analisis lapisan aplikasi untuk mengidentifikasi berbagai aplikasi dan isinya. Ketika paket 1P, aliran data TCP atau UDP melalui sistem manajemen bandwidth berdasarkan teknologi DPI, sistem membaca konten beban paket 1P untuk mengatur ulang informasi lapisan aplikasi dalam protokol OSI Layer 7, sehingga memperoleh konten seluruh program aplikasi, dan kemudian membentuk lalu lintas sesuai dengan kebijakan manajemen yang ditetapkan oleh sistem.
Bagaimana cara kerja DPI?
Firewall tradisional sering kali tidak memiliki daya pemrosesan untuk melakukan pemeriksaan menyeluruh secara real-time pada volume lalu lintas yang besar. Seiring kemajuan teknologi, DPI dapat digunakan untuk melakukan pemeriksaan yang lebih kompleks untuk memeriksa header dan data. Biasanya, firewall dengan sistem deteksi intrusi sering menggunakan DPI. Di dunia di mana informasi digital adalah yang terpenting, setiap informasi digital dikirimkan melalui Internet dalam paket-paket kecil. Ini termasuk email, pesan yang dikirim melalui aplikasi, situs web yang dikunjungi, percakapan video, dan banyak lagi. Selain data aktual, paket-paket ini menyertakan metadata yang mengidentifikasi sumber lalu lintas, konten, tujuan, dan informasi penting lainnya. Dengan teknologi penyaringan paket, data dapat terus dipantau dan dikelola untuk memastikannya diteruskan ke tempat yang tepat. Namun untuk memastikan keamanan jaringan, penyaringan paket tradisional masih jauh dari cukup. Beberapa metode utama pemeriksaan paket mendalam dalam manajemen jaringan tercantum di bawah ini:
Mode Pencocokan/Tanda Tangan
Setiap paket diperiksa kecocokannya dengan basis data serangan jaringan yang diketahui oleh firewall dengan kemampuan sistem deteksi intrusi (IDS). IDS mencari pola spesifik berbahaya yang diketahui dan menonaktifkan lalu lintas saat pola berbahaya ditemukan. Kerugian dari kebijakan pencocokan tanda tangan adalah kebijakan ini hanya berlaku untuk tanda tangan yang sering diperbarui. Selain itu, teknologi ini hanya dapat bertahan terhadap ancaman atau serangan yang diketahui.
Pengecualian Protokol
Karena teknik pengecualian protokol tidak mengizinkan semua data yang tidak cocok dengan basis data tanda tangan, teknik pengecualian protokol yang digunakan oleh firewall IDS tidak memiliki kelemahan bawaan dari metode pencocokan pola/tanda tangan. Sebaliknya, ia mengadopsi kebijakan penolakan default. Berdasarkan definisi protokol, firewall memutuskan lalu lintas apa yang harus diizinkan dan melindungi jaringan dari ancaman yang tidak diketahui.
Sistem Pencegahan Intrusi (IPS)
Solusi IPS dapat memblokir transmisi paket berbahaya berdasarkan kontennya, sehingga menghentikan serangan yang diduga secara real time. Ini berarti bahwa jika suatu paket menunjukkan risiko keamanan yang diketahui, IPS akan secara proaktif memblokir lalu lintas jaringan berdasarkan serangkaian aturan yang ditetapkan. Salah satu kelemahan IPS adalah kebutuhan untuk memperbarui basis data ancaman siber secara berkala dengan perincian tentang ancaman baru, dan kemungkinan positif palsu. Namun, bahaya ini dapat dikurangi dengan membuat kebijakan konservatif dan ambang batas khusus, menetapkan perilaku dasar yang sesuai untuk komponen jaringan, dan mengevaluasi peringatan dan kejadian yang dilaporkan secara berkala untuk meningkatkan pemantauan dan pemberitahuan.
1- DPI (Deep Packet Inspection) di Network Packet Broker
"Deep" adalah perbandingan analisis paket tingkat dan biasa, "inspeksi paket biasa" hanya melakukan analisis berikut terhadap paket IP 4 lapis, termasuk alamat sumber, alamat tujuan, port sumber, port tujuan dan jenis protokol, dan DPI kecuali dengan analisis hierarkis, juga meningkatkan analisis lapisan aplikasi, mengidentifikasi berbagai aplikasi dan konten, untuk mewujudkan fungsi utama:
1) Analisis Aplikasi -- analisis komposisi lalu lintas jaringan, analisis kinerja, dan analisis aliran
2) Analisis Pengguna -- diferensiasi kelompok pengguna, analisis perilaku, analisis terminal, analisis tren, dll.
3) Analisis Elemen Jaringan -- analisis berdasarkan atribut regional (kota, distrik, jalan, dll.) dan beban stasiun pangkalan
4) Kontrol Lalu Lintas -- Pembatasan kecepatan P2P, jaminan QoS, jaminan bandwidth, pengoptimalan sumber daya jaringan, dll.
5) Jaminan Keamanan -- Serangan DDoS, badai penyiaran data, pencegahan serangan virus berbahaya, dll.
2- Klasifikasi Umum Aplikasi Jaringan
Saat ini ada banyak sekali aplikasi di Internet, tetapi aplikasi web yang umum bisa jadi sangat lengkap.
Sejauh yang saya ketahui, perusahaan pengenalan aplikasi terbaik adalah Huawei, yang mengklaim mengenali 4.000 aplikasi. Analisis protokol adalah modul dasar dari banyak perusahaan firewall (Huawei, ZTE, dll.), dan ini juga merupakan modul yang sangat penting, mendukung realisasi modul fungsional lainnya, identifikasi aplikasi yang akurat, dan sangat meningkatkan kinerja dan keandalan produk. Dalam pemodelan identifikasi malware berdasarkan karakteristik lalu lintas jaringan, seperti yang saya lakukan sekarang, identifikasi protokol yang akurat dan luas juga sangat penting. Tidak termasuk lalu lintas jaringan aplikasi umum dari lalu lintas ekspor perusahaan, lalu lintas yang tersisa akan mencapai sebagian kecil, yang lebih baik untuk analisis dan alarm malware.
Berdasarkan pengalaman saya, aplikasi-aplikasi yang umum digunakan saat ini diklasifikasikan menurut fungsinya:
PS: Menurut pemahaman pribadi tentang klasifikasi aplikasi, Anda memiliki saran yang bagus, silakan tinggalkan pesan proposal
1) Surel
2) Rekaman
3) Permainan
4) Kelas OA Kantor
5) Pembaruan perangkat lunak
6) Keuangan (perbankan, Alipay)
7) Saham
8). Komunikasi Sosial (perangkat lunak IM)
9). Penjelajahan web (mungkin lebih baik diidentifikasi dengan URL)
10). Alat unduhan (web disk, unduhan P2P, terkait BT)
Lalu, bagaimana DPI (Deep Packet Inspection) bekerja di NPB:
1) Packet Capture: NPB menangkap lalu lintas jaringan dari berbagai sumber, seperti switch, router, atau tap. NPB menerima paket yang mengalir melalui jaringan.
2) Penguraian Paket: Paket yang ditangkap diurai oleh NPB untuk mengekstrak berbagai lapisan protokol dan data terkait. Proses penguraian ini membantu mengidentifikasi berbagai komponen dalam paket, seperti header Ethernet, header IP, header lapisan transport (misalnya, TCP atau UDP), dan protokol lapisan aplikasi.
3) Analisis Muatan: Dengan DPI, NPB melampaui pemeriksaan header dan berfokus pada muatan, termasuk data aktual dalam paket. NPB memeriksa konten muatan secara mendalam, terlepas dari aplikasi atau protokol yang digunakan, untuk mengekstrak informasi yang relevan.
4) Identifikasi Protokol: DPI memungkinkan NPB mengidentifikasi protokol dan aplikasi tertentu yang digunakan dalam lalu lintas jaringan. Ia dapat mendeteksi dan mengklasifikasikan protokol seperti HTTP, FTP, SMTP, DNS, VoIP, atau protokol streaming video.
5) Pemeriksaan Konten: DPI memungkinkan NPB memeriksa konten paket untuk pola, tanda tangan, atau kata kunci tertentu. Hal ini memungkinkan pendeteksian ancaman jaringan, seperti malware, virus, upaya intrusi, atau aktivitas mencurigakan. DPI juga dapat digunakan untuk penyaringan konten, menegakkan kebijakan jaringan, atau mengidentifikasi pelanggaran kepatuhan data.
6) Ekstraksi Metadata: Selama DPI, NPB mengekstrak metadata yang relevan dari paket. Ini dapat mencakup informasi seperti alamat IP sumber dan tujuan, nomor port, detail sesi, data transaksi, atau atribut relevan lainnya.
7) Perutean atau Penyaringan Lalu Lintas: Berdasarkan analisis DPI, NPB dapat merutekan paket tertentu ke tujuan yang ditentukan untuk diproses lebih lanjut, seperti peralatan keamanan, alat pemantauan, atau platform analitik. NPB juga dapat menerapkan aturan penyaringan untuk membuang atau mengalihkan paket berdasarkan konten atau pola yang teridentifikasi.
Waktu posting: 25-Jun-2023
