ການກວດກາຊອງເລິກ (DPI)ເປັນເທກໂນໂລຍີທີ່ໃຊ້ໃນ Network Packet Brokers (NPBs) ເພື່ອກວດກາ ແລະວິເຄາະເນື້ອໃນຂອງແພັກເກັດເຄືອຂ່າຍໃນລະດັບ granular. ມັນກ່ຽວຂ້ອງກັບການກວດສອບ payload, headers, ແລະຂໍ້ມູນສະເພາະຂອງ protocol ອື່ນໆພາຍໃນ packets ເພື່ອໃຫ້ໄດ້ຮັບຄວາມເຂົ້າໃຈລະອຽດກ່ຽວກັບການຈະລາຈອນເຄືອຂ່າຍ.
DPI ເກີນກວ່າການວິເຄາະສ່ວນຫົວແບບງ່າຍໆ ແລະໃຫ້ຄວາມເຂົ້າໃຈຢ່າງເລິກເຊິ່ງກ່ຽວກັບຂໍ້ມູນທີ່ໄຫຼຜ່ານເຄືອຂ່າຍ. ມັນອະນຸຍາດໃຫ້ກວດສອບຄວາມເລິກຂອງໂປໂຕຄອນຊັ້ນຂອງແອັບພລິເຄຊັນ, ເຊັ່ນ HTTP, FTP, SMTP, VoIP, ຫຼືໂປຣໂຕຄອນການຖ່າຍທອດວິດີໂອ. ໂດຍການກວດສອບເນື້ອຫາຕົວຈິງພາຍໃນແພັກເກັດ, DPI ສາມາດກວດພົບແລະກໍານົດຄໍາຮ້ອງສະຫມັກສະເພາະ, ໂປໂຕຄອນ, ຫຼືແມ້ກະທັ້ງຮູບແບບຂໍ້ມູນສະເພາະ.
ນອກເຫນືອໄປຈາກການວິເຄາະລໍາດັບຊັ້ນຂອງທີ່ຢູ່ແຫຼ່ງ, ທີ່ຢູ່ປາຍທາງ, ພອດແຫຼ່ງ, ພອດປາຍທາງ, ແລະປະເພດໂປໂຕຄອນ, DPI ຍັງເພີ່ມການວິເຄາະຊັ້ນຂອງແອັບພລິເຄຊັນເພື່ອກໍານົດຄໍາຮ້ອງສະຫມັກຕ່າງໆແລະເນື້ອຫາຂອງມັນ. ເມື່ອຂໍ້ມູນແພັກເກັດ 1P, TCP ຫຼື UDP ໄຫລຜ່ານລະບົບການຈັດການແບນວິດໂດຍອີງໃສ່ເທກໂນໂລຍີ DPI, ລະບົບຈະອ່ານເນື້ອຫາຂອງການໂຫຼດແພັກເກັດ 1P ເພື່ອຈັດລະບຽບຂໍ້ມູນຊັ້ນຄໍາຮ້ອງສະຫມັກໃນ OSI Layer 7 protocol, ເພື່ອໃຫ້ໄດ້ເນື້ອໃນຂອງ ໂຄງການຄໍາຮ້ອງສະຫມັກທັງຫມົດ, ແລະຫຼັງຈາກນັ້ນຮູບແບບການຈະລາຈອນຕາມນະໂຍບາຍການຄຸ້ມຄອງກໍານົດໂດຍລະບົບ.
DPI ເຮັດວຽກແນວໃດ?
Firewalls ແບບດັ້ງເດີມມັກຈະຂາດພະລັງງານການປຸງແຕ່ງເພື່ອເຮັດການກວດສອບເວລາທີ່ແທ້ຈິງຢ່າງລະອຽດກ່ຽວກັບການຈະລາຈອນຂະຫນາດໃຫຍ່. ເມື່ອເຕັກໂນໂລຢີກ້າວຫນ້າ, DPI ສາມາດຖືກນໍາໃຊ້ເພື່ອປະຕິບັດການກວດສອບທີ່ສັບສົນຫຼາຍເພື່ອກວດເບິ່ງສ່ວນຫົວແລະຂໍ້ມູນ. ໂດຍປົກກະຕິ, ໄຟວໍທີ່ມີລະບົບກວດຈັບການບຸກລຸກມັກຈະໃຊ້ DPI. ໃນໂລກທີ່ຂໍ້ມູນດິຈິຕອນເປັນທີ່ຍິ່ງໃຫຍ່, ທຸກຕ່ອນຂອງຂໍ້ມູນດິຈິຕອນແມ່ນໄດ້ຮັບການສົ່ງຜ່ານອິນເຕີເນັດໃນຊຸດຂະຫນາດນ້ອຍ. ນີ້ຮວມເຖິງອີເມວ, ຂໍ້ຄວາມທີ່ສົ່ງຜ່ານແອັບ, ເວັບໄຊທີ່ເຂົ້າເບິ່ງ, ການສົນທະນາທາງວິດີໂອ ແລະອື່ນໆອີກ. ນອກເຫນືອໄປຈາກຂໍ້ມູນຕົວຈິງ, ຊຸດເຫຼົ່ານີ້ປະກອບມີ metadata ທີ່ກໍານົດແຫຼ່ງການຈະລາຈອນ, ເນື້ອຫາ, ຈຸດຫມາຍປາຍທາງ, ແລະຂໍ້ມູນທີ່ສໍາຄັນອື່ນໆ. ດ້ວຍເທກໂນໂລຍີການກັ່ນຕອງແພັກເກັດ, ຂໍ້ມູນສາມາດຕິດຕາມແລະຈັດການຢ່າງຕໍ່ເນື່ອງເພື່ອຮັບປະກັນວ່າມັນຖືກສົ່ງຕໍ່ໄປຫາບ່ອນທີ່ຖືກຕ້ອງ. ແຕ່ເພື່ອຮັບປະກັນຄວາມປອດໄພຂອງເຄືອຂ່າຍ, ການກັ່ນຕອງຊຸດແບບດັ້ງເດີມແມ່ນຢູ່ໄກຈາກພຽງພໍ. ບາງວິທີການຕົ້ນຕໍຂອງການກວດສອບແພັກເກັດເລິກໃນການຄຸ້ມຄອງເຄືອຂ່າຍແມ່ນລະບຸໄວ້ຂ້າງລຸ່ມນີ້:
ໂໝດການຈັບຄູ່/ລາຍເຊັນ
ແຕ່ລະແພັກເກັດຖືກກວດສອບການຈັບຄູ່ກັບຖານຂໍ້ມູນຂອງການໂຈມຕີເຄືອຂ່າຍທີ່ຮູ້ຈັກໂດຍໄຟວໍທີ່ມີລະບົບກວດຈັບການບຸກລຸກ (IDS). IDS ຊອກຫາຮູບແບບສະເພາະທີ່ເປັນອັນຕະລາຍທີ່ຮູ້ຈັກ ແລະປິດການຈາລະຈອນເມື່ອພົບເຫັນຮູບແບບທີ່ເປັນອັນຕະລາຍ. ຂໍ້ເສຍຂອງນະໂຍບາຍການຈັບຄູ່ລາຍເຊັນແມ່ນມັນໃຊ້ກັບລາຍເຊັນທີ່ຖືກປັບປຸງເລື້ອຍໆເທົ່ານັ້ນ. ນອກຈາກນັ້ນ, ເຕັກໂນໂລຢີນີ້ພຽງແຕ່ສາມາດປ້ອງກັນການຂົ່ມຂູ່ຫຼືການໂຈມຕີທີ່ຮູ້ຈັກ.
ຂໍ້ຍົກເວັ້ນພິທີການ
ເນື່ອງຈາກເຕັກນິກການຍົກເວັ້ນໂປໂຕຄອນບໍ່ພຽງແຕ່ອະນຸຍາດໃຫ້ຂໍ້ມູນທັງຫມົດທີ່ບໍ່ກົງກັບຖານຂໍ້ມູນລາຍເຊັນ, ເຕັກນິກການຍົກເວັ້ນໂປໂຕຄອນທີ່ໃຊ້ໂດຍ IDS firewall ບໍ່ມີຂໍ້ບົກພ່ອງຂອງວິທີການຈັບຄູ່ຮູບແບບ / ລາຍເຊັນ. ແທນທີ່ຈະ, ມັນຮັບຮອງເອົານະໂຍບາຍການປະຕິເສດໃນຕອນຕົ້ນ. ໂດຍຄໍານິຍາມຂອງໂປໂຕຄອນ, Firewalls ຕັດສິນໃຈວ່າການຈະລາຈອນອັນໃດຄວນໄດ້ຮັບອະນຸຍາດແລະປົກປ້ອງເຄືອຂ່າຍຈາກການຂົ່ມຂູ່ທີ່ບໍ່ຮູ້ຕົວ.
ລະບົບປ້ອງກັນການບຸກລຸກ (IPS)
ການແກ້ໄຂ IPS ສາມາດສະກັດກັ້ນການສົ່ງຕໍ່ແພັກເກັດທີ່ເປັນອັນຕະລາຍໂດຍອີງໃສ່ເນື້ອຫາຂອງມັນ, ດັ່ງນັ້ນການຢຸດເຊົາການໂຈມຕີທີ່ສົງໃສໃນເວລາທີ່ແທ້ຈິງ. ນີ້ຫມາຍຄວາມວ່າຖ້າແພັກເກັດເປັນຕົວແທນຄວາມສ່ຽງດ້ານຄວາມປອດໄພທີ່ຮູ້ຈັກ, IPS ຈະສະກັດກັ້ນການຈະລາຈອນເຄືອຂ່າຍຢ່າງຕັ້ງຫນ້າໂດຍອີງໃສ່ກົດລະບຽບທີ່ກໍານົດໄວ້. ຂໍ້ເສຍຫນຶ່ງຂອງ IPS ແມ່ນຄວາມຕ້ອງການທີ່ຈະປັບປຸງຖານຂໍ້ມູນໄພຂົ່ມຂູ່ທາງອິນເຕີເນັດຢ່າງເປັນປົກກະຕິໂດຍມີລາຍລະອຽດກ່ຽວກັບໄພຂົ່ມຂູ່ໃຫມ່, ແລະຄວາມເປັນໄປໄດ້ຂອງຜົນບວກທີ່ບໍ່ຖືກຕ້ອງ. ແຕ່ອັນຕະລາຍນີ້ສາມາດຫຼຸດຜ່ອນໄດ້ໂດຍການສ້າງນະໂຍບາຍອະນຸລັກແລະເງື່ອນໄຂທີ່ກໍາຫນົດເອງ, ການສ້າງພຶດຕິກໍາພື້ນຖານທີ່ເຫມາະສົມສໍາລັບອົງປະກອບຂອງເຄືອຂ່າຍ, ແລະການປະເມີນແຕ່ລະໄລຍະການເຕືອນໄພແລະເຫດການລາຍງານເພື່ອເພີ່ມການຕິດຕາມແລະການແຈ້ງເຕືອນ.
1- ການກວດກາ DPI (Deep Packet Inspection) ໃນ Network Packet Broker
"ເລິກ" ແມ່ນລະດັບແລະການປຽບທຽບການວິເຄາະແພັກເກັດທໍາມະດາ, "ການກວດສອບຊຸດປົກກະຕິ" ພຽງແຕ່ການວິເຄາະຕໍ່ໄປນີ້ຂອງຊຸດ IP 4 ຊັ້ນ, ລວມທັງທີ່ຢູ່ແຫຼ່ງ, ທີ່ຢູ່ປາຍທາງ, ພອດແຫຼ່ງ, ພອດປາຍທາງແລະປະເພດໂປໂຕຄອນ, ແລະ DPI ຍົກເວັ້ນການຈັດລໍາດັບຊັ້ນ. ການວິເຄາະ, ຍັງໄດ້ເພີ່ມທະວີການວິເຄາະຊັ້ນຄໍາຮ້ອງສະຫມັກ, ກໍານົດຄໍາຮ້ອງສະຫມັກຕ່າງໆແລະເນື້ອໃນ, ເພື່ອຮັບຮູ້ຫນ້າທີ່ຕົ້ນຕໍ:
1) ການວິເຄາະຄໍາຮ້ອງສະຫມັກ - ການວິເຄາະອົງປະກອບການຈະລາຈອນເຄືອຂ່າຍ, ການວິເຄາະປະສິດທິພາບ, ແລະການວິເຄາະການໄຫຼ
2) ການວິເຄາະຜູ້ໃຊ້ - ການແຕກຕ່າງກຸ່ມຜູ້ໃຊ້, ການວິເຄາະພຶດຕິກໍາ, ການວິເຄາະປາຍ, ການວິເຄາະທ່າອ່ຽງ, ແລະອື່ນໆ
3) ການວິເຄາະອົງປະກອບເຄືອຂ່າຍ - ການວິເຄາະອີງໃສ່ຄຸນລັກສະນະພາກພື້ນ (ເມືອງ, ເມືອງ, ຖະຫນົນ, ແລະອື່ນໆ) ແລະການໂຫຼດສະຖານີຖານ
4) ການຄວບຄຸມການຈະລາຈອນ - ການຈໍາກັດຄວາມໄວ P2P, ການຮັບປະກັນ QoS, ການຮັບປະກັນແບນວິດ, ການເພີ່ມປະສິດທິພາບຂອງຊັບພະຍາກອນເຄືອຂ່າຍ, ແລະອື່ນໆ.
5) ການຮັບປະກັນຄວາມປອດໄພ -- ການໂຈມຕີ DDoS, ພາຍຸກະຈາຍຂໍ້ມູນ, ການປ້ອງກັນການໂຈມຕີໄວຣັສທີ່ເປັນອັນຕະລາຍ, ແລະອື່ນໆ.
2- ການຈັດປະເພດທົ່ວໄປຂອງຄໍາຮ້ອງສະຫມັກເຄືອຂ່າຍ
ມື້ນີ້ມີແອັບພລິເຄຊັນນັບບໍ່ຖ້ວນຢູ່ໃນອິນເຕີເນັດ, ແຕ່ຄໍາຮ້ອງສະຫມັກເວັບທົ່ວໄປສາມາດຫມົດໄປ.
ເທົ່າທີ່ຂ້ອຍຮູ້, ບໍລິສັດຮັບຮູ້ແອັບທີ່ດີທີ່ສຸດແມ່ນ Huawei, ເຊິ່ງອ້າງວ່າຮັບຮູ້ 4,000 ແອັບ. ການວິເຄາະໂປໂຕຄອນແມ່ນໂມດູນພື້ນຖານຂອງບໍລິສັດໄຟວໍຈໍານວນຫຼາຍ (Huawei, ZTE, ແລະອື່ນໆ), ແລະມັນຍັງເປັນໂມດູນທີ່ສໍາຄັນ, ສະຫນັບສະຫນູນການປະຕິບັດຂອງໂມດູນທີ່ເປັນປະໂຫຍດອື່ນໆ, ການກໍານົດຄໍາຮ້ອງສະຫມັກທີ່ຖືກຕ້ອງ, ແລະການປັບປຸງປະສິດທິພາບແລະຄວາມຫນ້າເຊື່ອຖືຂອງຜະລິດຕະພັນຢ່າງຫຼວງຫຼາຍ. ໃນການສ້າງແບບຈໍາລອງການກໍານົດ malware ໂດຍອີງໃສ່ຄຸນລັກສະນະການຈະລາຈອນຂອງເຄືອຂ່າຍ, ດັ່ງທີ່ຂ້ອຍກໍາລັງເຮັດໃນປັດຈຸບັນ, ການກໍານົດໂປໂຕຄອນທີ່ຖືກຕ້ອງແລະກວ້າງຂວາງຍັງມີຄວາມສໍາຄັນຫຼາຍ. ບໍ່ລວມການເຂົ້າຊົມເຄືອຂ່າຍຂອງແອັບພລິເຄຊັນທົ່ວໄປຈາກການຈະລາຈອນສົ່ງອອກຂອງບໍລິສັດ, ການຈະລາຈອນທີ່ຍັງເຫຼືອຈະກວມເອົາອັດຕາສ່ວນຫນ້ອຍ, ເຊິ່ງດີກວ່າສໍາລັບການວິເຄາະແລະການແຈ້ງເຕືອນ malware.
ອີງຕາມປະສົບການຂອງຂ້ອຍ, ຄໍາຮ້ອງສະຫມັກທີ່ໃຊ້ທົ່ວໄປທີ່ມີຢູ່ໄດ້ຖືກຈັດປະເພດຕາມຫນ້າທີ່ຂອງພວກເຂົາ:
PS: ອີງຕາມຄວາມເຂົ້າໃຈສ່ວນບຸກຄົນຂອງການຈັດປະເພດຄໍາຮ້ອງສະຫມັກ, ທ່ານມີຄໍາແນະນໍາທີ່ດີຍິນດີຕ້ອນຮັບທີ່ຈະອອກຈາກການສະເຫນີຂໍ້ຄວາມ
1). ອີເມລ
2). ວິດີໂອ
3). ເກມ
4). ຫ້ອງ OA ຫ້ອງການ
5). ອັບເດດຊອບແວ
6). ການເງິນ (ທະນາຄານ, Alipay)
7). ຫຸ້ນ
8). ການສື່ສານທາງສັງຄົມ (ຊອບແວ IM)
9). ການທ່ອງເວັບ (ອາດຈະຖືກລະບຸດີກວ່າດ້ວຍ URLs)
10). ດາວໂຫຼດເຄື່ອງມື (ເວັບດິສ, ດາວໂຫຼດ P2P, BT ທີ່ກ່ຽວຂ້ອງ)
ຫຼັງຈາກນັ້ນ, ວິທີການ DPI (Deep Packet Inspection) ເຮັດວຽກຢູ່ໃນ NPB:
1). Packet Capture: NPB ຈັບການຈາລະຈອນເຄືອຂ່າຍຈາກແຫຼ່ງຕ່າງໆ, ເຊັ່ນ: ສະວິດ, routers, ຫຼື taps. ມັນໄດ້ຮັບຊອງທີ່ໄຫລຜ່ານເຄືອຂ່າຍ.
2). Packet Parsing: ແພັກເກັດທີ່ຈັບໄດ້ຖືກວິເຄາະໂດຍ NPB ເພື່ອສະກັດຊັ້ນໂປຣໂຕຄໍຕ່າງໆ ແລະຂໍ້ມູນທີ່ກ່ຽວຂ້ອງ. ຂະບວນການວິເຄາະນີ້ຊ່ວຍລະບຸອົງປະກອບທີ່ແຕກຕ່າງກັນພາຍໃນແພັກເກັດເຊັ່ນ: ຫົວອີເທີເນັດ, ຫົວ IP, ຫົວຊັ້ນການຂົນສົ່ງ (ເຊັ່ນ: TCP ຫຼື UDP), ແລະໂປຣໂຕຄໍຊັ້ນຂອງແອັບພລິເຄຊັນ.
3). ການວິເຄາະການໂຫຼດ: ດ້ວຍ DPI, NPB ໄປນອກເຫນືອຈາກການກວດສອບຫົວແລະສຸມໃສ່ການໂຫຼດ, ລວມທັງຂໍ້ມູນຕົວຈິງພາຍໃນຊຸດ. ມັນກວດເບິ່ງເນື້ອໃນ payload ໃນຄວາມເລິກ, ໂດຍບໍ່ຄໍານຶງເຖິງຄໍາຮ້ອງສະຫມັກຫຼືໂປໂຕຄອນທີ່ໃຊ້, ເພື່ອສະກັດຂໍ້ມູນທີ່ກ່ຽວຂ້ອງ.
4). ການກໍານົດໂປໂຕຄອນ: DPI ຊ່ວຍໃຫ້ NPB ສາມາດລະບຸໂປໂຕຄອນສະເພາະ ແລະແອັບພລິເຄຊັນທີ່ຖືກນໍາໃຊ້ພາຍໃນການຈະລາຈອນເຄືອຂ່າຍ. ມັນສາມາດກວດຫາ ແລະຈັດປະເພດໂປຣໂຕຄໍເຊັ່ນ HTTP, FTP, SMTP, DNS, VoIP, ຫຼືໂປຣໂຕຄອນການຖ່າຍທອດວິດີໂອ.
5). ການກວດສອບເນື້ອຫາ: DPI ອະນຸຍາດໃຫ້ NPB ກວດສອບເນື້ອຫາຂອງແພັກເກັດສໍາລັບຮູບແບບສະເພາະ, ລາຍເຊັນ, ຫຼືຄໍາສໍາຄັນ. ອັນນີ້ເຮັດໃຫ້ສາມາດກວດພົບໄພຂົ່ມຂູ່ຂອງເຄືອຂ່າຍ, ເຊັ່ນ: ມັລແວ, ໄວຣັສ, ຄວາມພະຍາຍາມບຸກລຸກ ຫຼືການເຄື່ອນໄຫວທີ່ໜ້າສົງໄສ. DPI ຍັງສາມາດຖືກນໍາໃຊ້ສໍາລັບການກັ່ນຕອງເນື້ອຫາ, ການບັງຄັບໃຊ້ນະໂຍບາຍເຄືອຂ່າຍ, ຫຼືກໍານົດການລະເມີດການປະຕິບັດຕາມຂໍ້ມູນ.
6). Metadata Extraction: ໃນລະຫວ່າງການ DPI, NPB ສະກັດ metadata ທີ່ກ່ຽວຂ້ອງຈາກແພັກເກັດ. ນີ້ສາມາດປະກອບມີຂໍ້ມູນເຊັ່ນ: ທີ່ຢູ່ IP ແຫຼ່ງແລະປາຍທາງ, ເລກພອດ, ລາຍລະອຽດຂອງເຊດຊັນ, ຂໍ້ມູນການເຮັດທຸລະກໍາ, ຫຼືຄຸນລັກສະນະທີ່ກ່ຽວຂ້ອງອື່ນໆ.
7). ເສັ້ນທາງການຈະລາຈອນຫຼືການກັ່ນຕອງ: ອີງຕາມການວິເຄາະ DPI, NPB ສາມາດສົ່ງແພັກເກັດສະເພາະໄປຫາຈຸດຫມາຍປາຍທາງທີ່ກໍານົດສໍາລັບການປຸງແຕ່ງຕື່ມອີກ, ເຊັ່ນ: ເຄື່ອງໃຊ້ຄວາມປອດໄພ, ເຄື່ອງມືຕິດຕາມ, ຫຼືເວທີການວິເຄາະ. ມັນຍັງສາມາດນໍາໃຊ້ກົດລະບຽບການກັ່ນຕອງເພື່ອຍົກເລີກຫຼືປ່ຽນເສັ້ນທາງແພັກເກັດໂດຍອີງໃສ່ເນື້ອຫາຫຼືຮູບແບບທີ່ໄດ້ກໍານົດ.
ເວລາປະກາດ: ມິຖຸນາ-25-2023
