Ръководство за дълбока проверка на пакетите (DPI), включващо 7 най-добри инструменти за DPI

7 най-добри инструменти за анализ на дълбоки пакети

Дълбокият анализ на пакети е мрежова методология, която е особено полезна при защитните стени. Използването на задълбочена проверка на пакети се увеличи през последните години, защото може да се използва като част от системи за откриване на проникване (IDS) и системи за предотвратяване на проникване (IPS).

Защитните стени традиционно блокират достъпа до мрежа. Филтрите в защитните стени също могат да блокират достъпа до списък на уебсайтове, като проверяват IP адреса на местоназначението, съдържащ се в заглавката на пакета.

Ние навлизаме в дълбочина на всеки от инструментите по-надолу, но в случай, че нямате време да прочетете цялото парче, ето нашия списък от най-добрите инструменти за инспекция и анализ на дълбоки пакети:

  1. Монитор за ефективност на SolarWinds (БЕЗПЛАТНА ПРОБА) - Този инструмент за мониторинг на мрежата включва проверка на дълбоки пакети за идентифициране на приложенията за източник и местоназначение и крайните точки за мрежовия трафик.
  2. Paessler Paniler Sniffing с PRTG (БЕЗПЛАТНА ПРОБА) - PRTG системата е инструмент за мониторинг на инфраструктурата и включва сензор за пакети.
  3. OpManager - Това е мрежов монитор за ефективност, който може да улавя пакети за офлайн анализ. Инструментът работи на Windows и Linux.
  4. nDPI - Този инструмент проверява пакетите на приложния слой, което означава, че трябва да буферирате трафика за проверка.
  5. Netifyd - Адаптация на nDPI, която улавя пакети за проверка от други служби.
  6. AppNeta - Облачна система за мониторинг на мрежата, която включва анализ на офлайн трафика.
  7. Netfort LANGuardian - Мрежов инструмент за анализ на сигурността, който използва DPI и работи на Linux.

SPI срещу DPI

Усъвършенстването на шлюзовете, които изследват IP заглавката, е „динамична защитна”Защитни стени. Те работят Състоятелна проверка на пакетите (SPI). Тази методология разглежда заглавките на TCP или UDP, които са затворени в IP пакета. Състоятелната инспекция на пакетите е известна още като плитка проверка на пакетите. Дълбока проверка на пакети (DPI) разглежда полезния товар на пакета от данни.

SPI разглежда отделни пакети, тъй като те се обработват от шлюза, и избирателно отпада изходящи заявки или входящи пакети данни, които не съответстват на политиката за сигурност на мрежата. „Състоятелната“ част от името се отнася до данни за връзка. Защитната стена записва информация за заглавката, свързана с TCP връзката, която му позволява да следва поток от пакети. Типът данни за състоянието на заглавките, които защитната стена събира, включва поредния номер на пакетите.

Състоятелната защитна стена обикновено съхранява тази информация за връзка в паметта, което й позволява да избере потоци от свързани пакети, докато преминават през интерфейса. Данните за връзка се съхраняват в динамична таблица. След като връзката е затворена, тази информация се изтрива от таблицата, за да се освободи паметта. Съществуващата защитна стена е по-вероятно да блокира връзките, докато те са в ход. Държавната инспекция на пакетите се фокусира само върху живи данни.

DPI събира пакети, за да бъдат разгледани като група, така че редовен трафик продължава, докато копията се събират за анализ. Ето защо DPI често се нарича „анализ на дълбок пакет.”DPI отнема повече време, за да произведе разумна информация от SPI.

Предимства на дълбоката проверка и анализ на пакетите

Системите за откриване на проникване търсят „подписи“ в трафика на данни, за да идентифицират нередовна дейност. Един от триковете, които хакерите използват, за да заобиколят тези системи за откриване на подписи, е да разделете пакетите на по-малки сегменти. Това разпространява моделите, които търси плиткият анализ на пакети, така че нито един пакет не съдържа този подпис и атаката преминава. DPI анализът сглобява потоци от пакети от същия източник, така че подписите за атака могат да бъдат открити дори при разпространение върху няколко входящи пакета.

Когато DPI анализът е част от система за предотвратяване на проникване, текущите резултати от анализи генерират и прилагат действия за автоматично защита на системата. Такова действие може да включва блокиране на всички пакети, пристигащи от конкретен IP адрес на източник или дори диапазон от адреси.

Откриване на атака

Колекцията от пакети дава възможност на DPI да идентифицира типове атаки, които състоятелният анализ би пропуснал. Примери за това са неправилна употреба на стандартни мрежови комунални услуги, като Powershell или WMI, и насочени обемни претоварвания, като атаки за преливане на буфер. Използването на редовни системни програми при вирусна инфекция или шпионски софтуер означава, че забрана на приложенията, за които се знае, че се използват от хакери, не може да бъде приложена. Това е така, защото тези системни програми са от съществено значение за доставката на приложения и услуги на законни потребители. По този начин, задълбочена проверка и анализ на пакети, за да се проучат моделите на използване на тези системни услуги и избирателно изкоренява трафика, който показва подозрително поведение. По този начин злонамерената дейност може да бъде идентифицирана, въпреки че първоначално изглежда легитимен трафик.

Предотвратяване на изтичане на данни

Предотвратяването на изтичане на данни е друга употреба за анализ на дълбоки пакети. Това отнема a белия списък Приближаване. Компанията може да зададе политика, според която никой не трябва да може да копира данни на памет или да изпраща прикачени файлове по имейл. Но има законни случаи, когато такива действия са необходими. В този случай DPI ще бъде уведомен, за да позволи чрез това, което в противен случай ще се третира като неразрешена дейност. На този потребител не трябва да се разрешава да изпраща никакъв файл и т.н. функцията DPI поддържа дейности за наблюдение, за да блокира прехвърлянията на файлове, различни от оторизирания прикачен файл.

Най-добрите инструменти за инспекция и анализ на дълбоки пакети

Сложните мрежови системи за мониторинг вече включват процедури за анализ на дълбоки пакети. Така че можете да получите това съоръжение като част от вашия общ софтуер за управление на мрежата. Някои доставчици на софтуер произвеждат софтуер за защита на мрежата, който включва анализ на дълбоки пакети.

1. SolarWinds Network Monitor Monitor (БЕЗПЛАТНА ПРОБА)

SolarWinds Network Monitor Monitor

Най- Проверка и анализ на дълбоки пакети на SolarWinds с NPM употреби гама от техники за наблюдение и управление на мрежовия трафик. Основният елемент използва SNMP система за съобщения, която е родна на фърмуера на мрежовото оборудване. Разделите за анализ на монитора обаче използват проверка на дълбоки пакети (DPI) като част от услугите за видимост на поведението на инструмента.

Целта на DPI в инструмента SolarWinds удовлетворява две цели на мрежовите администратори. Първият е да идентифицирайте видовете трафик, които използват по-голямата част от ресурсите на системата. Прекомерното натоварване на мрежата затруднява работната среда за всички и е важно да разберете къде точно произхожда цялото това търсене. DPI предоставя тези данни и след като идентифицирането на ресурсите е идентифицирано, мрежовият администратор е по-лесен да реши какво да прави с тях.

Дълбоката проверка на пакетите също така дава функции за защита на мрежовия монитор за ефективност. Технологиите DPI ще идентифицират конкретни потребители и приложения, които причиняват скокове в трафика и показват нередно поведение. Тези пикове на търсене могат да бъдат причинени от хакерски атаки, но могат да бъдат причинени и от бизнес изисквания, като например обработка на акаунта в края на месеца. DPI ви позволява да видите дали тези скокове са генерирани от законни бизнес дейности. Неправилното поведение може да бъде блокирано.

Проследяването на потребителя може да подчертае необичайната дейност. Например, един потребителски акаунт може да бъде компрометиран, което да накара този потребител да получи достъп до услуги, които не са свързани с обичайните му дейности. Входът от различни физически места за кратки периоди също може да идентифицира потребителски акаунт, който е компрометиран.

Използването на задълбочен анализ на пакети от SolarWinds в Network Monitor Monitor показва тази техника не е полезна само за специалистите по сигурността. SolarWinds включва анализ на дълбоки пакети за откриване на проникване, но също така използва системата, за да помогне за формирането на редовен трафик и да изследва категориите приложения, които претоварват системата. Използването на DPI за подкрепа на законни бизнес дейности насочва пътя към всички системи за мониторинг на мрежата. Сложните методи на DPI вече се превръщат в мейнстрийм и ще стане централна част от всички системи за наблюдение на мрежовия трафик в бъдеще.

Мониторът за ефективност на мрежата не е безплатен. Цената за тази система започва от 2 955 долара. Въпреки това, можете да получите безплатна пробна версия за 30 дни. Мониторът за производителност на SolarWinds може да бъде инсталиран само на Windows Server операционна система.

SolarWinds Network Performance MonitorDownload 30-дневна БЕЗПЛАТНА пробна версия

2. Paessler Paniler Sniffing с PRTG (БЕЗПЛАТНА ПРОБА)

Таблото за управление на Paessler PRTG

Paessler Packet sniffing с PRTG е цялостен инструмент за мониторинг на мрежата, който включва DPI в своите процедури за събиране на данни. Packet sniffer на PRTG анализира специфични типове трафик, за да следи за използването на ресурсите и нередовната активност. Мониторът отчита за тези типове трафик и тяхната пропускателна способност, включително уеб трафик, активност на пощенски сървър, и прехвърляне на файлове. Тези контроли могат да бъдат много полезни за налагане на политики за сигурност на пощата и данните и ще ви позволят да забележите скокове в трафика, които биха могли да са индикации за проникване или кибератаки.

Ако се интересувате особено от използването задълбочен анализ на пакети за сигурност, тогава информацията, която ще получите DHCP, DNS, и ICMP трафикът трябва да ви бъде от особена полза.

Страницата на сензора за пакети в таблото за управление на PRTG циферблати и графики за да ви помогне бързо да осмислите данните за трафика.

Paessler PRTG може да бъде инсталиран на Windows и има безплатна версия за малки мрежи. Това ще обхване 100 сензора във вашата мрежа. Сензорът е точка за наблюдение в мрежа, като например порт или състояние като свободно пространство на диска. Можете да изтеглите софтуера за a безплатна пробна версия тук.

Paessler Paniler Sniffing с PRTGDownload 30-дневна безплатна пробна версия

3. ManageEngine OpManager

Табло за управление на OpManager

OpManager на ManageEngine е друг от водещи мрежови системи за наблюдение на пазара днес. Този монитор използва SNMP методи за текущ мониторинг на мрежата и проследяване на състоянието на устройството. Функциите за инспекция на дълбоки пакети на OpManager добавят управление на трафика към системата.

Както се очаква при DPI, анализът се извършва офлайн. Пакетите, които се изследват, първо се записват в PCAP файл. Тези файлове предоставят източника информация за анализ.

Функциите за анализ на дълбоки пакети на OpManager имат за цел да разкрият причини за лоша производителност на мрежата, а не да откриват проникване. От анализа излизат две показатели: времена за отговор на мрежата и времена за реакция на приложението. Администраторът може да забележи кои приложения се представят лошо и може да изисква повече ресурси от стандартните мрежови функции. След това можете да решите дали да увеличите ресурсите за обслужване на гладни приложения, да проучите по-ефективни алтернативи или да ограничите честотната лента, достъпна за това приложение, за да осигурите по-важни мрежови услуги по-добри времена на реакция.

Данните, които излизат от упражнението за анализ на дълбоки пакети, могат да бъдат извеждани в отчети. Те ви позволяват да водят дискусии със заинтересованите страни за това дали бюджетът трябва да се изразходва за разширяване на инфраструктурата или дали свръхактивните приложения трябва да бъдат ограничени или отменени.

OpManager е достъпно безплатно за наблюдение на десет възли или по-малко в мрежа. Системите, по-големи от тях, трябва да използват платения OpManager. Конзолата за наблюдение на OpManager може да бъде инсталирана на Windows и Linux операционна система.

4. nDPI

-nDPI сайт

OpenDPI е проект с отворен код на инструменти за анализ на дълбоки пакети. Проектът с отворен код позволява на всеки да види изходния код на приложение. Това уверява потребителите, че няма скрити трикове или повреждане на процедури за злонамерен софтуер, заровени вътре. nDPI от Ntop се основава на кода на OpenDPI и разширява неговата функционалност. Изходният код за nDPI също е достъпен.

Този модел с отворен код ви дава възможност да го инсталирате такъв, какъвто е или да модифицирате системата, така че да отговаря на нуждите на вашия бизнес. Модификацията на отворен код е много често и много хора, които създават подобрения за такива системи, също предоставят тези нови функции на разположение на общността. В някои случаи организацията, която управлява изходния код, ще приеме тези промени в основната версия. Ntop държи nDPI отделно от оригиналния OpenDPI, така че имате две опции с отворен код.

nDPI работи в Слой на приложението. Това означава, че обединява пакетите, преди да проучи тяхното съдържание. Заглавките на пакетите казват на анализатора кой протокол използва предаването и от кой порт трафикът идва и отива. Тази информация идентифицира всяко несъответствие между приложенията, изпращащи данни в мрежите, и портовете, които всеки използва, за разлика от портовете, които приложението трябва да използва за протокола, който следва.

Системата nDPI е в състояние да идентифицира криптирани пакети, като погледне SSL сертификата за сигурност който е определил ключа за криптиране за предаването. Това е умно разбиране и заобикаля трудностите, които криптирането представлява при задълбочения анализ на пакети.

Софтуерът nDPI може да бъде инсталиран на Windows, Linux, и MacOS. DPI модулът поддържа други Ntop продукти като nProbe и NTop-NG. nProbe е система за наблюдение на трафика, която събира NetFlow съобщения. NetFlow е стандарт за сигнализиране, използван от Cisco Systems за своите мрежови продукти за оборудване. Тази система се предлага срещу малка такса и тя продължава Linux и Windows. Ntop-NG е анализатор на трафика за мрежи. Това е алтернативна система за мониторинг на мрежата, която използва SNMP съобщения. Ntop-NG е достъпен за Windows, Unix, Linux, и Mac OS. Предлага се в три версии, една от които, изданието на Общността, е безплатно.

5. Нетифид

Уведомяване на екрана

Въпреки че е разклонение на OpenDPI, nDPI се превръща в стандарт от само себе си и е основа за редица други адаптации. Netifyd е един от тях. Това прави Netifyd и адаптация на адаптация на OpenDPI. Като неговите предци, Netifyd е продукт с отворен код и можете да видите кода, който съставя програмата, да я компилирате и да я използвате. Като алтернатива можете сами да адаптирате кода и да завършите с адаптация на адаптация на адаптация на OpenDPI.

Netifyd ще улавя пакети, но тя не включва функции за анализ за интерпретиране на данни или предприемане на действия за оформяне на трафик или блокиране на протоколи. Трябва да импортирате данните на Netifyd в друго приложение за тези функции.

Тази система е достъпна от страниците на общността на Egloo уебсайт. Основният продукт на Egloo е мрежовият монитор Netify, който е базиран на Netifyd, но има много повече функции и не е безплатна. Този инструмент ви предлага възможностите за визуализация и сортиране, необходими за правилното разбиране на информацията, която възниква при дълбока проверка на пакети. Стартовият пакет на Netify е на цена $ 25 на сайт на месец. Това издание ви позволява да наблюдавате дата от до 25 устройства и услугата ще съхранява вашите данни в продължение на два дни. По-високите пакети ви дават по-дълъг времеви хоризонт за исторически данни.

6. AppNeta

Снимка на Appneta

AppNeta е облачна система за наблюдение на мрежата. Той е специално насочен към компании, които работят с WAN и разширяват възможностите си в облака. Софтуерът използва собствена методология за анализ на мрежовия трафик, наречена TruPath, което малко прилича на Traceroute с добавено отчитане на резултатите.

След като TruPath събира информация, системата добавя данни за трафика, събрани чрез дълбока проверка на пакети. Модулът DPI работи за сегментиране на показатели за трафика по приложение. Тъй като AppNeta е насочена към фирми, които използват интензивно интернет за целия фирмен трафик. Провежда всички външна проверка на пакети, намаляване на напрежението, което прекомерните процедури за докладване могат да поставят в мрежите.

Информацията, че DPI модулът се събира, е изпратен до облачния център за данни. Двигателят за анализ се хоства дистанционно, а не на никое от вашето оборудване. Това прави табла за управление и отчети, достъпни от всяко място, не само във вашия щаб. Неутралитетът на местоположението на тази конфигурация прави контролния панел за системата достъпен от всяка точка на мрежата. Данните се съхраняват на сървърите на AppNeta за 90 дни, което ви дава широка възможност да анализирате тенденциите и да планирате капацитета. Търсенето на приложения обхваща както облачните услуги, достъпни от вашата компания, така и онлайн услугите, които вашият бизнес предоставя на другите.

Презентацията на AppNeta се фокусира върху наблюдение на изпълнението на приложенията. Тя включва сигнали за обемите на трафика за приложение. Тези предупреждения за движение могат да действат като монитор за сигурност, защото внезапните скокове на трафика могат да означават атака. Помощната програма включва анализ на активността на потребителя, което би било полезно за проследяване на подозрителна активност и идентифициране на компрометирани акаунти. AppNeta обаче не е позициониран като инструмент за защита.

AppNeta обхваща цялата комуникация между вашите сайтове и нейния център за данни криптиране.  Пакетът не използва инструменти за анализ на данни и компанията ви препоръчва да използвате инструмент на трета страна, като Wireshark.

Тази система за мониторинг не е безплатна. Услугата е на цена от 199 долара за приложение на място. Можете да поискате безплатен пробен период на системата, но компанията не предлага това за определен период от време. Можете да договорите пробен период с търговски представител при поискване.

7. NetFort LANGuardian

Скрийншот на LANGuardian

LANGuardian използва задълбочена проверка на пакети предимно като инструмент за сигурност. Системата изолира алчни приложения и изследва трафика на протокола във вашата мрежа, който използва най-широката честотна лента.

Таблото за управление на системата предлага обобщени данни, от които можете да извлечете подробна информация до цялата активност на потребителя. Софтуерът LANGuardian работи Linux. Той идва в комплект с свой собствен Linux интерфейс, така може и да бъде пускайте виртуални машини включително Microsoft Hyper-V. Той обаче няма да се изпълнява директно в Windows. Ако искате да използвате LANGuardian на компютър с Windows, ще инсталирате VMWare Player или VirtualBox и ще стартирате софтуера през този интерфейс.

Системата LANGuardian включва четири елемента:

  • Колекционен двигател
  • Двигател за анализ
  • База данни за трафика
  • Двигател за отчитане

Както повечето DPI системи, не можете да анализирате данни на живо. Тук е полезна базата данни. Информацията, събрана от агента за събиране, се вмъква в база данни. След това събраните данни могат да бъдат сортирани и манипулирани от аналитичния двигател. Това дава на системата перспектива за ниво на приложение върху мрежовия трафик и позволява на анализатора да проследява моделите на трафика в пакетите. Тези записи обаче могат да бъдат сглобени много бързо и добавени към тях в реално време, така че е възможно да получите близки изгледи на вашия мрежов трафик.

Софтуерът трябва да бъде инсталиран на един компютър във вашата мрежа и този компютър трябва да има директна връзка с вашия основен превключвател. Това дава на агента за събиране правомощия да копира целия трафик, който тече по вашата мрежа. Този колектор се превръща в първичен сензор и създава взаимоотношение "едно към едно" между основния превключвател и контролната конзола. Очевидно тази архитектура би попречила на LANGuardian системата да се разгърне в разпределените мрежи и особено не би работила с WAN. В тези сценарии, LANGuardian използва дистанционни сензори това отдалечено обратно от другите основни превключватели на вашата организация за централизиране на анализа на данните.

Системата не е безплатна. Въпреки това, можете да получите 30-дневен безплатен пробен период на LANGuardian.

Как да изберем DPI и софтуер за анализ

Дълбоката проверка и анализ на пакетите не е необходимо да се извършва чрез самостоятелен инструмент. Можете да получите функционалност на DPI, интегрирана в много от най-добрите системи за мониторинг на мрежата. Ако имате малка мрежа и не искате да предоставяте обвивки за системи за управление на мрежата, тогава разгледайте безплатните версии на тези мрежови монитори с големи имена. Ако просто искате отделна система за извършване на анализ на дълбоки пакети и не искате тези задачи да пречат на редовното ви наблюдение, тогава ще намерите някои много подходящи инструменти в нашия списък.

Внимавайте да инсталирате инструменти за анализ на дълбоки пакети, защото те извличат данните, които се пренасят във вашата мрежа. Дълбоката проверка на пакети може да наруши поверителността на данните, обменени във вашата организация. Ти трябва консултирайте се с правния съветник на вашата компания първо преди да инсталирате какъвто и да е мрежов инструмент, който ще ви позволи да улавяте данни, докато преминават през мрежата. Поверителността на личните данни и контролът на достъпа могат да бъдат компрометирани чрез предоставяне на достъп до служителите на мрежовия администратор. В някои случаи компанията трябва да се ангажира да ограничи достъпа до личната информация на членове на обществеността, държана върху активите на бизнеса. Така, уверете се, че не нарушавате тези задължения, като инсталирате DPI инструменти.

Възможността за проверка на трафик на ниво пакет със сигурност е полезна, когато срещнете проблеми с производителността на мрежата. Дълбокият анализ на пакети отива една крачка напред и чете съдържанието на всеки пакет. Трябва да уверите себе си и вашия съвет на директорите, че наистина се нуждаете от това ниво на информация, за да защитите мрежата, преди да инсталирате DPI системи.

Използвате ли в момента техники за дълбока проверка на пакети, за да поддържате добре мрежата си? Срещали ли сте се с правни проблеми по въпроса за поверителността на данните, докато използвате DPI инструменти? Нека общността да се поучи от вашия опит, като оставите съобщение в секцията за коментари по-долу.

Изображение: Raspberry Pi Model B в случай на PiHouse - оперативен от Тим ​​Уокър чрез Flickr. Лицензиран под CC BY-SA 2.0 (променен: добавен допълнителен текст)

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

14 − = 5

Adblock
detector