गहिरो प्याकेट निरीक्षण ((डीपीआई)नेटवर्क प्याकेट ब्रोकरहरू (NPBs) मा प्रयोग हुने प्रविधि हो जसले नेटवर्क प्याकेटहरूको सामग्रीलाई दानादार स्तरमा निरीक्षण र विश्लेषण गर्दछ। यसमा नेटवर्क ट्राफिकमा विस्तृत अन्तर्दृष्टि प्राप्त गर्न प्याकेटहरू भित्र पेलोड, हेडरहरू, र अन्य प्रोटोकल-विशिष्ट जानकारीको जाँच गर्ने समावेश छ।
DPI ले साधारण हेडर विश्लेषणभन्दा बाहिर जान्छ र नेटवर्क मार्फत प्रवाहित डेटाको गहिरो बुझाइ प्रदान गर्दछ। यसले HTTP, FTP, SMTP, VoIP, वा भिडियो स्ट्रिमिङ प्रोटोकलहरू जस्ता अनुप्रयोग तह प्रोटोकलहरूको गहन निरीक्षणको लागि अनुमति दिन्छ। प्याकेटहरू भित्रको वास्तविक सामग्रीको जाँच गरेर, DPI ले विशिष्ट अनुप्रयोगहरू, प्रोटोकलहरू, वा विशिष्ट डेटा ढाँचाहरू पत्ता लगाउन र पहिचान गर्न सक्छ।
स्रोत ठेगानाहरू, गन्तव्य ठेगानाहरू, स्रोत पोर्टहरू, गन्तव्य पोर्टहरू, र प्रोटोकल प्रकारहरूको पदानुक्रमिक विश्लेषणको अतिरिक्त, DPI ले विभिन्न अनुप्रयोगहरू र तिनीहरूको सामग्रीहरू पहिचान गर्न अनुप्रयोग-तह विश्लेषण पनि थप्छ। जब 1P प्याकेट, TCP वा UDP डेटा DPI प्रविधिमा आधारित ब्यान्डविथ व्यवस्थापन प्रणाली मार्फत प्रवाहित हुन्छ, प्रणालीले OSI तह 7 प्रोटोकलमा अनुप्रयोग तह जानकारी पुनर्गठन गर्न 1P प्याकेट लोडको सामग्री पढ्छ, ताकि सम्पूर्ण अनुप्रयोग कार्यक्रमको सामग्री प्राप्त गर्न सकियोस्, र त्यसपछि प्रणाली द्वारा परिभाषित व्यवस्थापन नीति अनुसार ट्राफिकलाई आकार दिन सकियोस्।
DPI ले कसरी काम गर्छ?
परम्परागत फायरवालहरूमा प्रायः ठूलो मात्रामा ट्राफिकमा पूर्ण वास्तविक-समय जाँच गर्न प्रशोधन शक्तिको अभाव हुन्छ। प्रविधिको प्रगतिसँगै, हेडर र डेटा जाँच गर्न DPI लाई थप जटिल जाँचहरू गर्न प्रयोग गर्न सकिन्छ। सामान्यतया, घुसपैठ पत्ता लगाउने प्रणाली भएका फायरवालहरूले प्रायः DPI प्रयोग गर्छन्। डिजिटल जानकारी सर्वोपरि भएको संसारमा, डिजिटल जानकारीको प्रत्येक टुक्रा इन्टरनेट मार्फत साना प्याकेटहरूमा डेलिभर गरिन्छ। यसमा इमेल, एप मार्फत पठाइएका सन्देशहरू, भ्रमण गरिएका वेबसाइटहरू, भिडियो कुराकानीहरू, र थप कुराहरू समावेश छन्। वास्तविक डेटाको अतिरिक्त, यी प्याकेटहरूमा ट्राफिक स्रोत, सामग्री, गन्तव्य, र अन्य महत्त्वपूर्ण जानकारी पहिचान गर्ने मेटाडेटा समावेश छ। प्याकेट फिल्टरिङ प्रविधिको साथ, डेटालाई निरन्तर निगरानी गर्न सकिन्छ र यसलाई सही ठाउँमा फर्वार्ड गरिएको सुनिश्चित गर्न व्यवस्थित गर्न सकिन्छ। तर नेटवर्क सुरक्षा सुनिश्चित गर्न, परम्परागत प्याकेट फिल्टरिङ पर्याप्त छैन। नेटवर्क व्यवस्थापनमा गहिरो प्याकेट निरीक्षणका केही मुख्य विधिहरू तल सूचीबद्ध छन्:
मिल्दो मोड/हस्ताक्षर
प्रत्येक प्याकेटलाई घुसपैठ पत्ता लगाउने प्रणाली (IDS) क्षमताहरू भएको फायरवालद्वारा ज्ञात नेटवर्क आक्रमणहरूको डाटाबेससँग मिल्दोजुल्दो जाँच गरिन्छ। IDS ले ज्ञात दुर्भावनापूर्ण विशिष्ट ढाँचाहरू खोज्छ र दुर्भावनापूर्ण ढाँचाहरू फेला पर्दा ट्राफिकलाई असक्षम पार्छ। हस्ताक्षर मिलान नीतिको बेफाइदा यो हो कि यो केवल ती हस्ताक्षरहरूमा लागू हुन्छ जुन बारम्बार अद्यावधिक गरिन्छ। थप रूपमा, यो प्रविधिले ज्ञात खतराहरू वा आक्रमणहरू विरुद्ध मात्र रक्षा गर्न सक्छ।
प्रोटोकल अपवाद
प्रोटोकल अपवाद प्रविधिले हस्ताक्षर डाटाबेससँग मेल नखाने सबै डेटालाई मात्र अनुमति नदिने भएकोले, IDS फायरवालले प्रयोग गर्ने प्रोटोकल अपवाद प्रविधिमा ढाँचा/हस्ताक्षर मिलान विधिको अन्तर्निहित त्रुटिहरू छैनन्। बरु, यसले पूर्वनिर्धारित अस्वीकृति नीति अपनाउँछ। प्रोटोकल परिभाषा अनुसार, फायरवालहरूले कुन ट्राफिकलाई अनुमति दिनुपर्छ भनेर निर्णय गर्छन् र नेटवर्कलाई अज्ञात खतराहरूबाट जोगाउँछन्।
घुसपैठ रोकथाम प्रणाली (IPS)
IPS समाधानहरूले तिनीहरूको सामग्रीको आधारमा हानिकारक प्याकेटहरूको प्रसारणलाई रोक्न सक्छ, जसले गर्दा वास्तविक समयमा शंकास्पद आक्रमणहरू रोकिन्छन्। यसको अर्थ यदि प्याकेटले ज्ञात सुरक्षा जोखिम प्रतिनिधित्व गर्दछ भने, IPS ले नियमहरूको परिभाषित सेटको आधारमा नेटवर्क ट्राफिकलाई सक्रिय रूपमा ब्लक गर्नेछ। IPS को एउटा बेफाइदा भनेको नयाँ खतराहरूको बारेमा विवरणहरू र गलत सकारात्मकताको सम्भावनाको साथ साइबर खतरा डाटाबेस नियमित रूपमा अद्यावधिक गर्नु आवश्यक छ। तर यो खतरालाई रूढिवादी नीतिहरू र अनुकूलन थ्रेसहोल्डहरू सिर्जना गरेर, नेटवर्क कम्पोनेन्टहरूको लागि उपयुक्त आधारभूत व्यवहार स्थापना गरेर, र अनुगमन र सतर्कता बढाउन समय-समयमा चेतावनीहरू र रिपोर्ट गरिएका घटनाहरूको मूल्याङ्कन गरेर कम गर्न सकिन्छ।
१- नेटवर्क प्याकेट ब्रोकरमा DPI (गहिरो प्याकेट निरीक्षण)
"गहिरो" भनेको स्तर र साधारण प्याकेट विश्लेषण तुलना हो, "सामान्य प्याकेट निरीक्षण" भनेको स्रोत ठेगाना, गन्तव्य ठेगाना, स्रोत पोर्ट, गन्तव्य पोर्ट र प्रोटोकल प्रकार, र पदानुक्रमिक विश्लेषण बाहेक DPI सहित IP प्याकेट ४ तहको निम्न विश्लेषण मात्र हो, जसले गर्दा अनुप्रयोग तह विश्लेषण पनि बढेको छ, विभिन्न अनुप्रयोगहरू र सामग्री पहिचान गरिएको छ, मुख्य कार्यहरू महसुस गर्न:
१) अनुप्रयोग विश्लेषण -- नेटवर्क ट्राफिक संरचना विश्लेषण, कार्यसम्पादन विश्लेषण, र प्रवाह विश्लेषण
२) प्रयोगकर्ता विश्लेषण -- प्रयोगकर्ता समूह भिन्नता, व्यवहार विश्लेषण, टर्मिनल विश्लेषण, प्रवृत्ति विश्लेषण, आदि।
३) नेटवर्क तत्व विश्लेषण -- क्षेत्रीय विशेषताहरू (शहर, जिल्ला, सडक, आदि) र आधार स्टेशन लोडमा आधारित विश्लेषण
४) ट्राफिक नियन्त्रण -- P2P गति सीमा, QoS आश्वासन, ब्यान्डविथ आश्वासन, नेटवर्क स्रोत अनुकूलन, आदि।
५) सुरक्षा आश्वासन -- DDoS आक्रमणहरू, डेटा प्रसारण आँधीबेहरी, दुर्भावनापूर्ण भाइरस आक्रमणहरूको रोकथाम, आदि।
२- नेटवर्क अनुप्रयोगहरूको सामान्य वर्गीकरण
आज इन्टरनेटमा अनगिन्ती अनुप्रयोगहरू छन्, तर सामान्य वेब अनुप्रयोगहरू पूर्ण हुन सक्छन्।
मलाई थाहा भएसम्म, सबैभन्दा राम्रो एप पहिचान गर्ने कम्पनी Huawei हो, जसले ४,००० एपहरू पहिचान गर्ने दाबी गर्छ। प्रोटोकल विश्लेषण धेरै फायरवाल कम्पनीहरू (Huawei, ZTE, आदि) को आधारभूत मोड्युल हो, र यो एक धेरै महत्त्वपूर्ण मोड्युल पनि हो, जसले अन्य कार्यात्मक मोड्युलहरूको प्राप्ति, सही अनुप्रयोग पहिचान, र उत्पादनहरूको प्रदर्शन र विश्वसनीयतामा ठूलो सुधार गर्न समर्थन गर्दछ। नेटवर्क ट्राफिक विशेषताहरूमा आधारित मालवेयर पहिचान मोडेलिङमा, जस्तै म अहिले गरिरहेको छु, सही र व्यापक प्रोटोकल पहिचान पनि धेरै महत्त्वपूर्ण छ। कम्पनीको निर्यात ट्राफिकबाट सामान्य अनुप्रयोगहरूको नेटवर्क ट्राफिक बाहेक, बाँकी ट्राफिकले सानो अनुपातको लागि जिम्मेवार हुनेछ, जुन मालवेयर विश्लेषण र अलार्मको लागि राम्रो छ।
मेरो अनुभवको आधारमा, अवस्थित सामान्यतया प्रयोग हुने अनुप्रयोगहरूलाई तिनीहरूको कार्य अनुसार वर्गीकृत गरिएको छ:
पुनश्च: आवेदन वर्गीकरणको व्यक्तिगत बुझाइ अनुसार, तपाईंसँग कुनै राम्रो सुझाव छ भने सन्देश प्रस्ताव छोड्न स्वागत छ।
१) इमेल
२) भिडियो
३) खेलहरू
४) कार्यालय OA वर्ग
५) सफ्टवेयर अपडेट
६) वित्तीय (बैंक, अलिपे)
७) स्टकहरू
८) सामाजिक सञ्चार (IM सफ्टवेयर)
९) वेब ब्राउजिङ (सायद URL हरूसँग राम्रोसँग पहिचान गर्न सकिन्छ)
१०) डाउनलोड उपकरणहरू (वेब डिस्क, P2P डाउनलोड, BT सम्बन्धित)
त्यसो भए, NPB मा DPI (डीप प्याकेट निरीक्षण) कसरी काम गर्छ:
१) प्याकेट क्याप्चर: NPB ले स्विच, राउटर वा ट्याप जस्ता विभिन्न स्रोतहरूबाट नेटवर्क ट्राफिक क्याप्चर गर्छ। यसले नेटवर्क मार्फत प्रवाहित प्याकेटहरू प्राप्त गर्छ।
२). प्याकेट पार्सिङ: क्याप्चर गरिएका प्याकेटहरूलाई NPB द्वारा विभिन्न प्रोटोकल तहहरू र सम्बन्धित डेटा निकाल्न पार्स गरिन्छ। यो पार्सिङ प्रक्रियाले प्याकेटहरू भित्रका विभिन्न घटकहरू पहिचान गर्न मद्दत गर्दछ, जस्तै इथरनेट हेडरहरू, IP हेडरहरू, यातायात तह हेडरहरू (जस्तै, TCP वा UDP), र अनुप्रयोग तह प्रोटोकलहरू।
३) पेलोड विश्लेषण: DPI को साथ, NPB ले हेडर निरीक्षणभन्दा बाहिर जान्छ र प्याकेटहरू भित्रको वास्तविक डेटा सहित पेलोडमा ध्यान केन्द्रित गर्दछ। यसले सान्दर्भिक जानकारी निकाल्नको लागि प्रयोग गरिएको अनुप्रयोग वा प्रोटोकलको पर्वाह नगरी, पेलोड सामग्रीको गहन जाँच गर्दछ।
४). प्रोटोकल पहिचान: DPI ले NPB लाई नेटवर्क ट्राफिक भित्र प्रयोग भइरहेका विशिष्ट प्रोटोकल र अनुप्रयोगहरू पहिचान गर्न सक्षम बनाउँछ। यसले HTTP, FTP, SMTP, DNS, VoIP, वा भिडियो स्ट्रिमिङ प्रोटोकलहरू जस्ता प्रोटोकलहरू पत्ता लगाउन र वर्गीकृत गर्न सक्छ।
५). सामग्री निरीक्षण: DPI ले NPB लाई विशिष्ट ढाँचा, हस्ताक्षर, वा किवर्डहरूको लागि प्याकेटहरूको सामग्री निरीक्षण गर्न अनुमति दिन्छ। यसले मालवेयर, भाइरस, घुसपैठ प्रयास, वा शंकास्पद गतिविधिहरू जस्ता नेटवर्क खतराहरू पत्ता लगाउन सक्षम बनाउँछ। DPI सामग्री फिल्टर गर्न, नेटवर्क नीतिहरू लागू गर्न, वा डेटा अनुपालन उल्लङ्घनहरू पहिचान गर्न पनि प्रयोग गर्न सकिन्छ।
६). मेटाडेटा निकासी: DPI को समयमा, NPB ले प्याकेटहरूबाट सान्दर्भिक मेटाडेटा निकाल्छ। यसमा स्रोत र गन्तव्य IP ठेगानाहरू, पोर्ट नम्बरहरू, सत्र विवरणहरू, लेनदेन डेटा, वा कुनै अन्य सान्दर्भिक विशेषताहरू जस्ता जानकारी समावेश हुन सक्छ।
७) ट्राफिक राउटिङ वा फिल्टरिङ: DPI विश्लेषणको आधारमा, NPB ले थप प्रशोधनको लागि निर्दिष्ट प्याकेटहरूलाई तोकिएका गन्तव्यहरूमा राउट गर्न सक्छ, जस्तै सुरक्षा उपकरणहरू, अनुगमन उपकरणहरू, वा विश्लेषण प्लेटफर्महरू। यसले पहिचान गरिएको सामग्री वा ढाँचाहरूमा आधारित प्याकेटहरू खारेज वा रिडिरेक्ट गर्न फिल्टरिङ नियमहरू पनि लागू गर्न सक्छ।
पोस्ट समय: जुन-२५-२०२३
