Руководство по углубленной проверке пакетов (DPI), включая 7 лучших инструментов DPI

7 лучших инструментов для глубокого анализа пакетов

Глубокий анализ пакетов - это сетевая методология, которая особенно полезна в брандмауэрах. В последние годы возросло использование глубокой проверки пакетов, поскольку она может использоваться как часть системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS).

Межсетевые экраны традиционно блокируют доступ к сети. Фильтры в брандмауэрах также могут блокировать доступ к списку веб-сайтов путем проверки IP-адреса назначения, содержащегося в заголовке пакета..

Мы углубимся в каждый из инструментов ниже, но если у вас нет времени прочитать весь материал, вот наш список Лучшие инструменты для глубокого анализа и анализа пакетов:

  1. Монитор производительности сети SolarWinds (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ) - Этот инструмент сетевого мониторинга включает в себя глубокую проверку пакетов для определения приложений источника и назначения и конечных точек сетевого трафика..
  2. Paessler Packet Sniffing с PRTG (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ) - Система PRTG является инструментом мониторинга инфраструктуры и включает в себя датчик пакетов.
  3. OpManager - Это монитор производительности сети, который может захватывать пакеты для автономного анализа. Инструмент работает на Windows и Linux.
  4. НИПИ - Этот инструмент проверяет пакеты на прикладном уровне, что означает, что вам нужно буферизовать трафик для проверки.
  5. Netifyd - Адаптация nDPI, которая захватывает пакеты для проверки другими службами..
  6. AppNeta - Облачная система мониторинга сети, которая включает анализ трафика в автономном режиме.
  7. NetFort LANGuardian - Инструмент анализа сетевой безопасности, использующий DPI и работающий в Linux.

SPI против DPI

Усовершенствования на шлюзах, которые проверяют заголовок IP, «StatefulМежсетевые экраны. Они нанимают Stateful Packet Inspection (SPI). Эта методология проверяет заголовки TCP или UDP, которые заключены в IP-пакет. Проверка пакетов с отслеживанием состояния также известна как проверка мелких пакетов. Глубокая проверка пакетов (точек на дюйм) смотрит на данные полезной нагрузки пакета.

SPI проверяет отдельные пакеты, когда они обрабатываются шлюзом, и выборочно отбрасывает исходящие запросы или входящие пакеты данных, которые не соответствуют политике безопасности сети. «Состоящая» часть имени относится к данным соединения. Брандмауэр записывает информацию заголовка, относящуюся к TCP-соединению, что позволяет ему следовать за потоком пакетов. Тип данных заголовка с сохранением состояния, которые собирает межсетевой экран, включает порядковый номер пакетов.

Межсетевой экран с сохранением состояния обычно сохраняет эту информацию о соединении в памяти, позволяя ему выбирать потоки связанных пакетов, когда они проходят через интерфейс. Данные соединения хранятся в динамической таблице. Как только соединение закрыто, эта информация стирается из таблицы, чтобы освободить память. Брандмауэр с отслеживанием состояния с большей вероятностью блокирует соединения во время их выполнения. Проверка пакетов с отслеживанием состояния фокусируется только на реальных данных.

DPI собирает пакеты для проверки в виде группы, поэтому регулярный трафик продолжает свой путь, а копии собираются для анализа. Вот почему DPI часто называют «глубокий анализ пакетов.«DPI требует больше времени для создания действенной Intel, чем SPI.

Преимущества глубокой проверки и анализа пакетов

Системы обнаружения вторжений ищут «сигнатуры» в трафике данных для выявления нерегулярных действий. Одна из хитростей, которую используют хакеры для обхода этих систем обнаружения подписей, заключается в разбить пакеты на более мелкие сегменты. Это расширяет шаблоны, которые ищет неглубокий анализ пакетов, поэтому ни один пакет не содержит эту подпись, и атака проходит. Анализ DPI собирает потоки пакетов из одного источника, поэтому сигнатуры атак могут быть обнаружены даже при распределении по нескольким входящим пакетам.

Когда анализ DPI является частью системы предотвращения вторжений, результаты текущего анализа генерируют и применяют действия для автоматической защиты системы. Такое действие может включать в себя блокировку всех пакетов, поступающих с определенного исходного IP-адреса или даже диапазона адресов.

Обнаружение атаки

Сбор пакетов позволяет DPI определять типы атак, которые пропущен при анализе с учетом состояния. Примеры этого нерегулярное использование стандартных сетевых утилит, такие как Powershell или WMI, и направленные объемные перегрузки, такие как атаки переполнения буфера. Использование обычных системных утилит при заражении вирусами или шпионских программах означает, что запрет на приложения, о которых известно, что они используются хакерами, не может быть применен. Это связано с тем, что эти системные утилиты необходимы для доставки приложений и услуг законным пользователям. Таким образом, глубокая проверка и анализ пакетов вступают в силу, чтобы изучить использование этих системных сервисов и выборочно. искореняет трафик, который отображает подозрительное поведение. Таким образом, вредоносная активность может быть идентифицирована, даже если изначально она выглядит как законный трафик..

Предотвращение утечки данных

Предотвращение утечки данных - еще одно применение для глубокого анализа пакетов. Это занимает белый список подходить. Компания может установить политику, согласно которой никому не должно быть разрешено копировать данные на карту памяти или отправлять вложения электронной почты. Но есть законные случаи, когда такие действия необходимы. В этом случае DPI будет уведомлен о том, что он может рассматриваться как неавторизованный вид деятельности. Этому пользователю нельзя разрешать отправлять какие-либо файлы, и поэтому функция DPI поддерживает мониторинг, чтобы блокировать передачу файлов, отличную от разрешенного вложения.

Лучшие инструменты глубокой проверки и анализа пакетов

Сложные системы мониторинга сети теперь включают процедуры глубокого анализа пакетов. Таким образом, вы можете получить это средство как часть вашего общего программного обеспечения для управления сетью. Некоторые поставщики программного обеспечения производят программное обеспечение защиты сети, которое включает в себя глубокий анализ пакетов.

1. Монитор производительности сети SolarWinds (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)

Монитор производительности сети SolarWinds

Глубокая проверка и анализ пакетов SolarWinds с помощью NPM использования ряд методов для мониторинга и управления сетевым трафиком. Основной элемент использует SNMP Система обмена сообщениями, которая является родной для прошивки сетевого оборудования. Тем не менее, разделы анализа использования монитора глубокая проверка пакетов (DPI) как часть сервисов видимости поведения сети.

Назначение DPI в инструменте SolarWinds отвечает двум целям сетевых администраторов. Во-первых, это определить типы трафика, которые используют большую часть ресурсов системы. Чрезмерная нагрузка на сеть делает рабочую среду трудной для всех, и важно точно определить, откуда все эти потребности возникают. DPI предоставляет эти данные, и как только идентификаторы ресурсов определены, администратору сети легче решить, что с ними делать.

Глубокая проверка пакетов также обеспечивает функции безопасности монитора производительности сети. Методы DPI будут определять конкретных пользователей и приложения, которые вызывают скачки трафика и отображают нестабильное поведение. Эти пики спроса могут быть вызваны хакерскими атаками, однако они также могут быть вызваны бизнес-требованиями, такими как обработка счета в конце месяца. DPI позволяет увидеть, вызваны ли эти скачки законной деловой деятельностью. Нерегулярное поведение может быть заблокировано.

Отслеживание пользователей может выделить необычные действия. Например, одна учетная запись пользователя может быть взломана, что приведет к тому, что этот пользователь получит доступ к службам, которые не связаны с его обычными действиями. Вход в систему из разнородных физических местоположений в течение коротких периодов времени также может идентифицировать взломанную учетную запись пользователя..

Использование глубокого анализа пакетов SolarWinds в Network Performance Monitor показывает эта техника полезна не только специалистам по безопасности. SolarWinds включает в себя глубокий анализ пакетов для обнаружения вторжений, но он также использует систему, чтобы помочь сформировать регулярный трафик и изучить категории приложений, которые перегружают систему. Использование DPI для поддержки законной деловой активности указывает путь для всех систем сетевого мониторинга. Сложные методы DPI в настоящее время становятся мейнстримом и станет центральной частью всех систем мониторинга сетевого трафика в будущем.

Монитор производительности сети не является бесплатным. Цена на эту систему начинается с $ 2955. Тем не менее, вы можете получить бесплатная пробная версия на 30 дней. Монитор производительности сети SolarWinds может быть установлен только на Windows Server операционные системы.

Монитор производительности сети SolarWindsСкачать 30-дневную бесплатную пробную версию

2. Paessler Packet Sniffing с PRTG (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)

Панель управления Paessler PRTG

Paessler Packet нюхает с PRTG это комплексный инструмент мониторинга сети, который включает DPI в свои процедуры сбора данных. Анализатор пакетов PRTG анализирует определенные типы трафика, чтобы отслеживать использование ресурсов и нерегулярную активность. Монитор сообщает об этих типах трафика и их пропускной способности, включая веб-трафик, активность почтового сервера, и передача файлов. Эти элементы управления могут быть очень полезны для навязывания политики безопасности почты и данных, и они позволят вам обнаружить скачки трафика, которые могут быть признаками вторжения или кибератак..

Если вы особенно заинтересованы в использовании глубокий анализ пакетов для безопасности, тогда информация, которую вы получите на DHCP, DNS, и ICMP трафик должен быть вам особенно полезен.

Страница с датчиком пакетов в панели инструментов PRTG циферблаты и графики чтобы помочь вам быстро разобраться в данных о трафике.

Paessler PRTG может быть установлен на Windows и есть бесплатная версия для небольших сетей. Это покроет 100 датчиков в вашей сети. Датчик - это точка наблюдения в сети, например, порт или состояние, например свободное место на диске. Вы можете скачать программное обеспечение для бесплатная пробная версия здесь.

Paessler Packet Sniffing с PRTGСкачать 30-дневную бесплатную пробную версию

3. ManageEngine OpManager

Панель инструментов OpManager

OpManager ManageEngine является еще одним из ведущие системы мониторинга сети на рынке сегодня. Этот монитор использует методы SNMP для постоянного мониторинга сети и отслеживания состояния устройства.. Функции глубокой проверки пакетов в OpManager добавляют управление трафиком в систему.

Как и следовало ожидать с DPI, анализ проводится в автономном режиме. Рассматриваемые пакеты сначала записываются в файл PCAP. Эти файлы предоставляют исходную информацию для анализа.

Функции глубокого анализа пакетов в OpManager направлены на выявление причин низкой производительности сети, а не на обнаружение вторжения. Из анализа вытекают две метрики: время отклика сети и время отклика приложения. Администратор может определить, какие приложения работают плохо, и может потребовать больше ресурсов, чем стандартные сетевые функции. Затем вы можете решить, следует ли увеличить ресурсы для обслуживания голодных приложений, исследовать более эффективные альтернативы или ограничить полосу пропускания, доступную для этого приложения, чтобы обеспечить более важные сетевые сервисы более быстрым временем отклика..

Данные, полученные в результате глубокого анализа пакетов, можно выводить в отчетах. Это позволяет вам вести дискуссии с заинтересованными сторонами о том, следует ли тратить бюджет на расширение инфраструктуры или следует ли ограничивать или откладывать чрезмерно активные приложения.

OpManager является доступно бесплатно для мониторинга десяти или менее узлов в сети. Системы большего размера должны использовать платный OpManager. Консоль мониторинга OpManager может быть установлена ​​на Windows и Linux операционные системы.

4. НИПИ

-сайт nDPI

OpenDPI это проект с открытым исходным кодом инструментов глубокого анализа пакетов. Проект с открытым исходным кодом позволяет любому увидеть исходный код приложения. Это гарантирует пользователям, что скрытых трюков нет или повреждение вредоносных процедур, скрытых внутри. nDPI от Ntop основан на коде OpenDPI и расширяет его функциональность. Исходный код для nDPI также доступен.

Эта модель с открытым исходным кодом дает вам возможность установить ее как есть или изменить систему в соответствии с потребностями вашего бизнеса. Модификация открытого исходного кода очень распространена и многие люди, которые создают улучшения для таких систем, также делают эти новые функции доступными для сообщества. В некоторых случаях организация, которая управляет исходным кодом, примет эти изменения в основной версии.. Ntop хранит nDPI отдельно от исходного OpenDPI, так что у вас есть два варианта с открытым исходным кодом.

НДПИ работает на Уровень приложений. Это означает, что он объединяет пакеты перед проверкой их содержимого. Заголовки пакетов сообщают механизму анализа, какой протокол используется для передачи и с какого порта был получен трафик. Эта информация идентифицирует любое несоответствие между приложениями, отправляющими данные в сети, и портами, которые каждый использует, в отличие от портов, которые приложение должно использовать для протокола, которому оно следует.

Система nDPI способна идентифицировать зашифрованные пакеты, просматривая сертификат безопасности SSL это указало ключ шифрования для передачи. Это умное понимание, позволяющее обойти трудности, которые представляет шифрование для глубокого анализа пакетов..

Программное обеспечение nDPI может быть установлено на Windows, Linux, и MacOS. Модуль DPI поддерживает другие продукты Ntop, такие как nProbe и NTOP-NG. nProbe - это система мониторинга трафика, которая собирает Поток данных, передающихся по сети Сообщения. NetFlow - это стандарт сигнализации, используемый Cisco Systems для своих продуктов сетевого оборудования. Эта система доступна за небольшую плату и он работает на Linux и Windows. Ntop-NG - анализатор трафика для сетей. Это альтернативная система мониторинга сети, которая использует SNMP Сообщения. Ntop-NG доступен для Windows, Юникс, Linux, и Mac OS. Он доступен в трех версиях, одна из которых, Community Edition, бесплатно.

5. Нетифид

Скриншот Netify

Несмотря на то, что вилка OpenDPI, НДПИ становится стандартом все по-своему и является основой для ряда других адаптаций. Netifyd является одним из них. Это делает Netifyd и адаптацию адаптации OpenDPI. Как и его предки, Netifyd - продукт с открытым исходным кодом и вы можете увидеть код, который составляет программу, скомпилировать и использовать ее. В качестве альтернативы, вы можете адаптировать код самостоятельно и в конечном итоге адаптировать адаптацию OpenDPI.

Netifyd будет захватывать пакеты, но не включает функции анализа интерпретировать данные или предпринимать действия по формированию трафика или блокировать протоколы. Вам нужно будет импортировать данные Netifyd в другое приложение для этих функций.

Эта система доступна на страницах сообщества Egloo интернет сайт. Основным продуктом Egloo является сетевой монитор Netify, основанный на Netifyd, но имеющий гораздо больше функций и не бесплатно. Этот инструмент предлагает вам возможности визуализации и сортировки, необходимые для правильного понимания информации, получаемой в результате глубокой проверки пакетов. Стартовый пакет Netify по цене $ 25 за сайт в месяц. Это издание позволяет вам контролироватьт. е. до 25 устройств и сервис будет хранить ваши данные в течение двух дней. Более высокие пакеты дают вам более длительный горизонт для исторических данных.

6. AppNeta

Скриншот Appneta

AppNeta является облачная система мониторинга сети. Это особенно нацелено на компании, которые управляют глобальными сетями и расширяют их возможности в облако. Программное обеспечение использует собственную методологию анализа сетевого трафика, которая называется TruPath., что немного похоже на Traceroute с добавлением отчетов о производительности.

После того, как TruPath соберет информацию, система добавляет подробности о трафике, полученные с помощью глубокой проверки пакетов. Модуль DPI работает для сегментирования метрик трафика по приложениям. Поскольку AppNeta нацелена на предприятия, которые интенсивно используют Интернет для всего трафика компании. Проводит все выездной осмотр пакета, снижение нагрузки, которую чрезмерные процедуры отчетности могут создавать для сетей.

Информация, которую собирает модуль DPI, отправлено в облачный дата-центр. Механизм анализа размещен удаленно, а не на вашем оборудовании. Это делает информационные панели и отчеты доступны из любого места, не только в вашем штабе. Независимость от местоположения этой конфигурации делает панель управления системой доступной из любой точки сети.. Данные хранятся на серверах AppNeta в течение 90 дней., что дает вам широкие возможности для анализа тенденций и планирования потенциала. Спрос на приложения покрывает как облачные сервисы, к которым обращается ваша компания, так и онлайн-сервисы, которые ваш бизнес предоставляет другим.

Презентация AppNeta посвящена мониторинг производительности доставки приложений. Включает оповещения об объемах трафика на приложение. Эти предупреждения о дорожном движении могут действовать как монитор безопасности, потому что внезапные всплески трафика могут указывать на нападение. Утилита включает в себя анализ активности пользователей, что может пригодиться для отслеживания подозрительной активности и выявления скомпрометированных учетных записей. Однако AppNeta не позиционируется как инструмент безопасности.

AppNeta покрывает все коммуникации между вашими сайтами и центром обработки данных с шифрование.  Пакет не использует инструменты анализа данных, и компания рекомендует вам использовать сторонние инструменты, такие как Wireshark.

Эта система мониторинга не является бесплатной. Стоимость услуги составляет $ 199 за приложение для каждого местоположения. Вы можете запросить бесплатная пробная версия системы, но компания не предлагает это в течение фиксированного периода времени. Вы можете договориться об испытательном сроке с торговым представителем по запросу..

7. NetFort LANGuardian

LANGuardian скриншот

LANGuardian использует глубокая проверка пакетов, прежде всего, в качестве инструмента безопасности. Система изолирует жадные до ресурсов приложения и проверяет трафик протокола в вашей сети, который использует наибольшую пропускную способность..

Панель управления системой предлагает сводные данные, из которых вы можете перейти к получению доступной информации вплоть до действий пользователя. Программное обеспечение LANGuardian работает на Linux. Поставляется в комплекте с свой собственный интерфейс Linux, так что это также может быть запускать виртуальные машины в том числе Microsoft Hyper-V. Тем не менее, он не будет работать непосредственно в Windows. Если вы хотите использовать LANGuardian на компьютере под управлением Windows, вам нужно будет установить VMWare Player или VirtualBox и запустить программное обеспечение через этот интерфейс..

Система LANGuardian включает в себя четыре элемента:

  • Движок коллекции
  • Механизм анализа
  • База данных трафика
  • Механизм отчетности

Как и большинство систем DPI, вы не можете анализировать данные в реальном времени. Здесь база данных пригодится. Информация, собранная агентом по сбору, вставляется в базу данных. Собранные данные затем могут быть отсортированы и обработаны аналитическим механизмом. Это дает систему перспектива на уровне приложения на сетевой трафик и позволяет анализатору отслеживать шаблоны трафика по пакетам. Тем не менее, эти записи могут быть собраны очень быстро и добавлены в режиме реального времени, так что можно получить почти живое представление вашего сетевого трафика.

Программное обеспечение должно быть установлено на одном компьютере в вашей сети, и этот компьютер должен иметь прямое соединение с вашим основным коммутатором. Это дает агенту сбора возможность копировать весь трафик, проходящий по вашей сети. Этот коллектор становится основным датчиком и создает взаимно-однозначную связь между главным коммутатором и консолью мониторинга. Очевидно, что эта архитектура предотвратит развертывание системы LANGuardian в распределенных сетях и, в частности, не будет работать с глобальными сетями. В этих сценариях, LANGuardian развертывает удаленные датчики этот удаленный от других основных коммутаторов в вашей организации, чтобы централизовать анализ данных.

Система не бесплатна. Тем не менее, вы можете получить 30-дневная бесплатная пробная версия LANGuardian.

Как выбрать DPI и программное обеспечение для анализа

Глубокая проверка и анализ пакетов не должны выполняться автономным инструментом.. Вы можете интегрировать функции DPI во многие ведущие в отрасли системы сетевого мониторинга. Если у вас небольшая сеть и вы не хотите использовать ее для систем управления сетью, тогда посмотрите на бесплатные версии этих громких сетевых мониторов. Если вы просто хотите, чтобы отдельная система выполняла глубокий анализ пакетов, и не хотите, чтобы эти задачи мешали вашему регулярному мониторингу, тогда вы найдете несколько очень подходящих инструментов в нашем списке.

Будьте осторожны при установке инструментов глубокого анализа пакетов, поскольку они извлекают данные, передаваемые по вашей сети.. Глубокая проверка пакетов может поставить под угрозу конфиденциальность данных, которыми обмениваются в вашей организации. Вам следует проконсультируйтесь с юрисконсультом вашей компании перед установкой любого сетевого инструмента, который позволит вам захватывать данные, когда они пересекают сеть. Конфиденциальность данных и контроль доступа могут быть поставлены под угрозу, предоставляя доступ персоналу сетевого администратора. В некоторых случаях компания обязуется ограничить доступ к личной информации представителей общественности, хранящейся в активах компании. Так, убедитесь, что вы не выполняете эти обязательства, установив инструменты DPI.

Возможность проверки трафика на уровне пакетов, безусловно, полезна, когда вы сталкиваетесь с проблемами производительности сети. Глубокий анализ пакетов идет еще дальше и читает содержимое каждого пакета. Вы должны убедить себя и свой совет директоров, что вам действительно необходим этот уровень информации для защиты сети перед установкой систем DPI.

Используете ли вы в настоящее время методы глубокой проверки пакетов, чтобы ваша сеть работала нормально? Сталкивались ли вы с юридическими проблемами по поводу конфиденциальности данных при использовании инструментов DPI? Позвольте сообществу учиться на вашем опыте, оставив сообщение в разделе комментариев ниже.

Изображение: Raspberry Pi Model B в корпусе PiHouse - работает Тимом Уокером через Flickr. Лицензировано в соответствии с CC BY-SA 2.0 (изменено: добавлен дополнительный текст)

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

− 4 = 5

Adblock
detector