مروری بر DPI
Deep Packet Inspection
DPI به تکنولوژی گفته می شود که در آن بسته های شبکه یا جریانی از آنها به دقت بررسی می شوند و محتوای آنها استخراج می شود . سپس از این محتوا در جهت مقاصد گوناگون استفاده میشود.DPI معمولا در یکی از عناصر شبکه مانند روتر ، سوئیچ و ... انجام می شود. هر چند که میتوان یک سخت افزار مستقل برای ان در نظر گرفت تا سرعت پردازش بیشتر شود. به عنوان مثال Advantech پلتفرمی با نام NCP-7560 را فراهم کرده است که عملیات DPI را در یک سخت افزار مستقل انجام میدهد و برای انجام عملیات DPI نیز از موتور Qosmos استفاده میکند که در ادامه روش کار این موتور تشریح می شود. از رایج ترین موارد استفاده از محتوای استخراج شده از DPI میتوان به موارد زیر اشاره کرد.
- محتوای استخراج شده در جهت کشف نفوذ استفاده می شوند
- در جهت کشف بدافزارها و ترافیک های مخرب
- مدیریت بهینه و حرفه ای شبکه
- عملیات داده کاوی بر روی داده های استخراج شده به منظور اهداف خاص
- برقراری سیستم فیلترینگ و سانسور اینترنت
در شکل بالا نمایی از موقعیت یک پلتفرم مستقل که عملیات DPI را انجام میدهد مشاهده میکنید. پلتفرم با سخت افزار مستقل و موتور DPI مستقل در پشت روتر قرار گرفته است و داده های ورودی خروجی را کنترل میکند. این موتور DPI همچنین میتواند بر روی خود روتر ، یا سوئیچ یا فایروال هم قرار بگیرد.
در حال حاضر این تکنولوژی توسط سازمان ها و دولت های مختلفی استفاده می شود و به دلیل اینکه میتوان محتوای دقیق بسته ها را بررسی کرد ، به همین دلیل توسط سازمان های اطلاعاتی به منظور جاسوسی نیز استفاده می شود که اعتراضات زیادی را بر انگیخته است. در مجموع ، تکنولوژی محسوب می شود که هم میتوان استفاده مفید و هم میتوان استفاده مخرب از آن داشت . به عنوان مثال اگر یک ایمیل از پروتکل های رمزنگاری استفاده نکند ، با استفاده از DPI ، تمامی محتویات آن قابل رویت خواهد بود.
استفاده از تکنیک DPI در تلفیق با IDS و IPS و Firewall منجر به سیستم های امنیتی قدرتمندی می شود که توانایی هر 3 ابزار را به حداکثر می رساند . این تکنیک برای شناسایی حملاتی مانند DoS و آسیب پذیری هایی برنامه ها مانند buffer overflow و حملات پیچیده و کرم های شبکه نیز موثر است .
از تکنیک DPI به منظور QoS نیز استفاده می شود . به این ترتیب که جریان خاصی از داده ها بررسی می شوند و به عنوان مثال یک جریان خاص مانند ویدئوها ، در هنگام شناسایی به مسیر دیگری هدایت می شوند و یا اولویت و پهنای باند بالاتری به آنها اختصاص داده می شود. در واقع هر کدام از جریان های داده و پکت ها میتوانند در دسته بندی های مختلف قرار بگیرند و عکس العمل مناسب ( مانند Drop ، هدایت به مسیر دیگر ، الویت بالاتر و ... ) بر روی آنها صورت گیرد.
سازمان های بزرگ از تکنیک های DPI برای ایجاد DLP یا همان Data Leak Preventionنیز استفاده میکنند . به این ترتیب که اگر کاربری بخواد فایل های غیر مجاز یا محرمانه ای را در شبکه جا به جا کند ، شناسایی می شود. یا حتی اگر اطلاعات محرمانه توسط بدافزارهای جاسوس در شبکه دزدیده شوند یا جا به جا شوند با استفاده از این تکینک میتوان آنها را شناسایی کرد.
تکنیک DPI توسط ISP ها نیز مورد استفاده قرار میگیرد تا اهداف خاصی را برآورده کنند. به عنوان مثال موارد استفاده آن میتواند در جهت اعمال قوانین دولتی ، ایجاد QoS ، و حتی تبلیغات ! مورد استفاده قرار بگیرد. به عنوان مثال تمام ISP هایی که در ایران وجود دارند ، ترافیک کاربران خود را ضبط میکنند و میتوانند تمامی درخواست آنها را مشاهده کنند.در صورتی که کاربر از سرویس هایی مانند VPN یا پروکسی استفاده کرده باشد ، ISP ها تنها میتوانند بسته های درخواستی را مشاهده کنند و از محتوای آنها باخبر نخواهند شد. در بحث تبلیغات نیز به این صورت عمل میکنند که ترافیک کاربران را زیر نظر میگیرند و آنها را دسته بندی میکنند. به عنوان مثال دسته ای با عنوان کاربران متخصص کامپیوتر شناسایی میکنند که حجم زیادی از درخواست های آنها مربوط به سایت گوگل و جستجو در مورد مسایل تخصصی کامپیوتر است . به این ترتیب شماره اتصال به اینترنت این کاربران استخراج شده و تبلیغات مناسب با تخصص آنها برایشان ارسال می شود ( مثلا فروش نرم افزارهای تخصصی )
نرم افزارهای DPI
L7-filter یک ابزار تحت Netfilter لینوکس است که میتواند داده های پکت ها را بر اساس لایه کاربرد تشخیص دهد. این ابزار میتواند پکت های ابزارها و پروتکل های مختلف مانند HTTP ، FTP ، Bittorrent ، Jabber ، VoIP و ... را تشخیص و دسته بندی کند.
Hippie یک ماژول تحت کرنل لینوکس است که هر دو قابلیت DPI و فایروالینگ را پوشش میدهد
SPID یک پروژه مربوط به تحلیل آماری است که ترافیک شبکه را تحلیل میکند و آمار ترافیکی کاربران را گزارش میکند . الگوریتم های این ابزار میتواند برنامه های لایه کاربرد را تشخیص دهد و این کار را حتی در فایل های pcap نیز میتواند انجام دهد. به عنوان مثال خروجی یک IDS مانند Snort که به فرمت pcap ذخیره شده است را میتوان به عنوان ورودی به این ابزار داد تا تحلیل آماری انجام دهد.
به دلیل اینکه روش های DPI بسیار سنگین و پیچیده هستند ، استفاده از یک سخت افزار مستقل برای انها پیشنهاد می شود. به عنوان مثال در حال حاضر بر روی بعضی از روترها این قابلیت پیاده سازی شده است تا ترافیک عبوری از روتر تشخیص داده شده و عملیات مورد نظر انجام شود. به عنوان مثال در روترهای ISR G2 سیسکو این قابلیت پیاده سازی شده است .
Qosmos ixEngineیک مجموعه (Software Development Kit ) SDK است که میتواند در ابزارهای کاربران استفاده شود. به این ترتیب که این ابزار که در واقع یک نوع موتور DPI است میتواند ترافیک شبکه را در لایه های 2 تا 7 شبکه تحلیل کند و به عنوان خروجی به ابزار مورد نظر کاربر ارائه دهد. شمای کلی معماری این موتور به صورت زیر است.
این ابزار قابلیت های زیر را دارد
- شناسایی ترافیک بیش از 1300 پروتکل و برنامه کاربردی از روی جریان داده های شبکه
- استخراج metadata های بیش از 6000 برنامه کاربردی و پروتکل از روی جریان داده ها
- آنالیز داده ها به صورت real time
Deep Content Inspection (DCI)
این روش به جای بررسی پکت یا جریانی از پکت ها ، به بررسی محتویات فایل ها می پردازد. در واقع سیر تکاملی همان DPI است که پیشرفت بیشتری داشته است. در واقع این روش ، بر خلاف DPI که بررسی هدر پکت ها میپردازد ، بررسی بیشتری میکند به این ترتیب که میتواند پکت های شبکه را reassemble کند و در کنار یکدیگر قرار دهد ، سپس آنها را decode و یا decompress کند و آنها در میان فایل های آماده شده به بررسی بیشتر مثلا پیدا کردن بدافزار ، تشخیص نفوذ و ... بپردازد.DCI در ابتدا برای سیستم های تشخیص نفوذ طراحی شد ولی بعد برای QoS نیز استفاده شد. ابزارهای امنیتی مانند UTM های نسل جدید از DPI برای کشف بدافزارها استفاده میکنند. اما کشف بدافزارهای پیشرفته مانند stuxnet جز با DCI امکانپذیر نیست .
