Vodič za dubinsku provjeru paketa (DPI) koji uključuje 7 najboljih alata DPI

7 najboljih alata za analizu dubinskih paketa

Analiza dubinskih paketa mrežna je metodologija koja je osobito korisna u firewall-u. Upotreba dubinskih inspekcija paketa povećala se posljednjih godina jer se može koristiti kao dio sustavi za otkrivanje upada (IDS-ovi) i sustavi za sprječavanje upada (IPS).

Vatrozidovi tradicionalno blokiraju pristup mreži. Filtri u vatrozidima mogu također blokirati pristup popisu web mjesta pregledom odredišne ​​IP adrese koja se nalazi u zaglavlju paketa.

Gledamo dubinu svakog alata dalje dolje, ali za slučaj da nemate vremena pročitati cijeli komad, evo našeg popisa najbolji alati za dubinsku inspekciju i analizu paketa:

  1. Monitor performansi SolarWinds (BESPLATNO ISPITIVANJE) - Ovaj alat za nadzor mreže uključuje dubinsku provjeru paketa radi prepoznavanja izvornih i odredišnih aplikacija i krajnjih točaka na mrežnom prometu.
  2. Njuškalo Paessler Packet s PRTG (BESPLATNO SUĐENJE) - PRTG sustav je alat za nadzor infrastrukture i uključuje senzor za paket.
  3. OpManager - Ovo je mrežni monitor performansi koji može snimiti pakete za izvanmrežnu analizu. Alat radi na Windows i Linuxu.
  4. nDPI - Ovaj alat pregledava pakete na aplikacijskom sloju, što znači da trebate spremiti promet radi provjere.
  5. Netifyd - Prilagodba nDPI-a koji obuhvaća pakete za pregled od strane drugih službi.
  6. AppNeta - Sustav za nadzor mreže temeljen na oblaku, koji uključuje izvanmrežnu analizu prometa.
  7. NetFort LANGuardian - Alat za analizu mrežne sigurnosti koji koristi DPI i radi na Linuxu.

SPI vs DPI

Napredak na gatewayima koji ispituju IP zaglavlje su "stanjem transakcije"Firewall. Oni zapošljavaju Državna inspekcija paketa (SPI). Ovom se metodologijom ispituju zaglavlja TCP ili UDP, koja su zatvorena u IP paketu. Vrhunska inspekcija paketa poznata je i kao plitka inspekcija paketa. Pregled dubokih paketa (DPI) gleda na korisni teret paketa.

SPI ispituje pojedinačne pakete kako ih procesuira gateway, i selektivno odustaje od odlaznih zahtjeva ili dolaznih paketa podataka koji nisu u skladu s mrežnom sigurnosnom politikom. "Državni" dio imena odnosi se na podatke o vezi. Vatrozid snima podatke o zaglavlju koji se odnose na TCP vezu, što mu omogućuje da slijedi niz paketa. Vrsta podatka o zaglavlju stanja koje vatrozid sakuplja uključuje redni broj paketa.

Izvrsni vatrozid obično pohranjuje ove podatke o vezi u memoriju, omogućujući joj da odabere protoke povezanih paketa dok prolaze kroz sučelje. Podaci o povezivanju čuvaju se u dinamičnoj tablici. Jednom kada se veza zatvori, te se informacije brišu sa tablice kako bi se oslobodila memorija. Izvrsni vatrozid vjerojatnije će blokirati veze dok su u tijeku. Državna inspekcija paketa usredotočena je samo na žive podatke.

DPI prikuplja pakete kako bi ih pregledao kao skupinu, pa se redovit promet nastavlja, dok se kopije prikupljaju na analizu. Zbog toga se DPI često naziva i „duboka analiza paketa.“DPI treba duže vremena za proizvodnju djelotvornijih podataka od SPI-ja.

Prednosti dubinskog pregleda i analiza paketa

Sustavi za otkrivanje provale traže "potpise" u prometu podataka kako bi identificirali neregularnu aktivnost. Jedan trik koji hakeri koriste kako bi zaobišli ove sustave za otkrivanje potpisa jest podijeliti pakete na manje segmente. To širi obrasce u kojima plitka analiza paketa traži, pa niti jedan paket ne sadrži taj potpis i napad prolazi. DPI analiza ponovno sastavlja tokove paketa iz istog izvora, pa se napadni potpisi mogu otkriti čak i kada se raspodijele na nekoliko dolaznih paketa.

Kad je DPI analiza dio sustava za sprečavanje provale, trenutni rezultati analize generiraju i primjenjuju radnje za automatsku obranu sustava. Takva akcija može uključivati ​​blokiranje svih paketa koji stižu s određenog IP adrese ili čak niza adresa.

Otkrivanje napada

Kolekcija paketa omogućava DPI-ju da identificira vrste napada koje bi propustene uvredljive analize. Primjeri za to su nepravilna uporaba standardnih mrežnih alata, kao što su PowerShell ili WMI, i usmjereno glasno preopterećenje, kao što su napadi preljeva međuspremnika. Korištenje redovnih uslužnih programa za virusne infekcije ili špijunski softver znači da se zabrana aplikacija za koje se zna da hakeri ne mogu provesti. To je zato što su te sistemske alate ključne za dostavu aplikacija i usluga legitimnim korisnicima. Dakle, duboka inspekcija i analiza paketa koraka je da se ispitaju načini upotrebe tih sistemskih usluga i selektivno iskorijeni promet koji pokazuje sumnjivo ponašanje. Tako se može prepoznati zlonamjerna aktivnost iako se u početku čini da je to legitiman promet.

Sprječavanje curenja podataka

Sprečavanje propuštanja podataka još je jedna uporaba za dubinsku analizu paketa. Ovo traje dopušta pristup. Tvrtka može odrediti pravilo da nikome ne smije biti dopušteno kopiranje podataka na memorijski stick ili slanje privitaka e-pošte. Ali postoje legitimni slučajevi kad su takve radnje potrebne. U ovom slučaju, DPI bi trebao biti obaviješten kako bi omogućio ono što bi se u suprotnom tretiralo kao neovlaštena aktivnost. Taj korisnik ne bi smio slati bilo koju datoteku i tako dalje DPI funkcija prati nadzorne aktivnosti za blokiranje prijenosa datoteka osim odobrenog privitka.

Najbolji alati za dubinsku provjeru i analizu paketa

Sofisticirani mrežni nadzorni sustavi sad uključuju rutinske analize programa. Dakle, ovaj objekt možete dobiti kao dio općeg softvera za upravljanje mrežama. Neki dobavljači softvera proizvode mrežni softver za zaštitu koji uključuje analizu dubokog paketa.

1. SolarWinds Monitor performansi mreže (BESPLATNO ISPITIVANJE)

Monitor performansi mreže SolarWinds

SolarWinds dubinski pregled i analiza paketa s NPM-om namjene raspon tehnika za nadzor i upravljanje mrežnim prometom. Glavni element koristi SNMP sustav za razmjenu poruka koji je izvorni za firmver mrežne opreme. Međutim, odjeljci za analizu koriste monitor inspekcija dubokog paketa (DPI) kao dio usluga prepoznavanja mrežnog ponašanja alata.

Svrha DPI-ja u alatu SolarWinds zadovoljava dva cilja mrežnih administratora. Prvi je da identificirati vrste prometa koji troše većinu resursa sustava. Prekomjerno opterećenje mreže otežava radno okruženje svima i važno je otkriti odakle ta potražnja potječe. DPI pruža te podatke i nakon što su identificirani štitnici resursa, mrežnom administratoru je lakše odlučiti što učiniti s njima.

Dubina inspekcija paketa također daje sigurnosne funkcije mrežnog praćenja performansi. Tehnike DPI identificirat će specifične korisnike i aplikacije koje uzrokuju skokove u prometu i pokazuju pogrešno ponašanje. Ti vrhovi potražnje mogli bi prouzrokovati hakerski napadi, međutim, oni bi mogli prouzročiti i poslovne zahtjeve, poput obrade računa na kraju mjeseca. DPI vam omogućuje da vidite jesu li ti udari generirani zakonitim poslovnim aktivnostima. Nepravilno ponašanje može biti blokirano.

Praćenje korisnika može istaknuti neobičnu aktivnost. Na primjer, jedan korisnički račun mogao je biti ugrožen, što je navelo tog korisnika da pristupi uslugama koje nisu povezane s njegovim uobičajenim aktivnostima. Prijave s različitih fizičkih lokacija u kratkim razdobljima mogu također identificirati korisnički račun koji je ugrožen.

Pokazuje da se SolarWinds koristi u dubokoj analizi paketa u mrežnom nadzoru performansi ova tehnika nije samo od koristi sigurnosnim stručnjacima. SolarWinds uključuje analizu dubokog paketa za otkrivanje upada, ali također koristi sustav da pomogne oblikovanju redovitog prometa i ispitivanju kategorija aplikacija koje preopterećuju sustav. Upotreba DPI-a za podršku legitimnim poslovnim aktivnostima ukazuje naprijed za sve sustave mrežnog nadzora. Sofisticirane metode DPI-ja sada postaju mainstream i postat će središnji dio svih sustava praćenja mrežnog prometa u budućnosti.

Mrežni nadzor performansi nije besplatan. Cijena za ovaj sustav počinje od 2.955 dolara. Međutim, možete dobiti besplatno probno razdoblje u trajanju od 30 dana. Monitor performansi SolarWinds može se instalirati samo na Windows Server operativni sustavi.

SolarWinds Network Performance MonitorDownload 30-dnevna BESPLATNA probna verzija

2. Njuškalo Paesslerovih paketa s PRTG-om (BESPLATNO ISPITIVANJE)

Paessler PRTG nadzorna ploča

Paessler Paket njuška s PRTG-om je sveobuhvatan alat za nadzor mreže koji uključuje DPI u svoje postupke prikupljanja podataka. Paketna njuška PRTG analizira određene vrste prometa radi praćenja korištenja resursa i nepravilnih aktivnosti. Monitor izvještava o tim vrstama prometa i njihovoj propusnosti uključujući web promet, aktivnost poslužitelja pošte, i prijenosi datoteka. Ove kontrole mogu biti vrlo korisne za nametanje pravila zaštite pošte i podataka, a omogućit će vam da uočite poraste u prometu koji bi mogli biti pokazatelji upada ili cyber napada..

Ako ste posebno zainteresirani za upotrebu dubinska analiza paketa radi sigurnosti, zatim informacije koje ćete dobiti DHCP, DNS, i ICMP promet bi vam trebao biti od posebne koristi.

Stranica osjetnika paketa na PRTG nadzornoj ploči sadrži značajke brojčanike i grafikone koji će vam brzo pomoći da shvatite podatke o prometu.

Paessler PRTG može se instalirati na Windows i postoji besplatna verzija za male mreže. Ovo će pokriti 100 senzora na vašoj mreži. Senzor je nadzorna točka na mreži, kao što je port ili stanje poput slobodnog prostora na disku. Možete preuzeti softver za a besplatno suđenje ovdje.

Paessler Njuškanje paketa s PRTGUčitavanje 30-dnevnog BESPLATNOG ISPITA

3. ManageEngine OpManager

Upravljačka ploča OpManager-a

OpManager ManageEngine je još jedan od vodeći mrežni sustavi za nadzor na tržištu danas. Ovaj monitor koristi SNMP metode za kontinuirano nadgledanje mreže i praćenje stanja uređaja. Funkcije dubinske provjere paketa OpManager dodaju upravljanje prometom u sustav.

Kao što je za očekivati ​​s DPI-jem, analiza se vrši izvan mreže. Paketi u ispitivanju prvo se pišu u PCAP datoteku. Ove datoteke daju izvorne informacije za analizu.

Funkcije dubinske analize paketa OpManager nastoje otkriti razloge slabih mrežnih performansi, a ne otkriti upad. Iz analize se izvode dvije metrike: vremena reakcije mreže i vremena reakcije aplikacije. Administrator može uočiti koje aplikacije djeluju loše i može im trebati više resursa od standardnih mrežnih funkcija. Tada možete odlučiti želite li povećati resurse za posluživanje gladnih aplikacija, istražiti efikasnije alternative ili ograničiti propusnost koja je dostupna toj aplikaciji kako bi važnijim mrežnim uslugama omogućili bolje vrijeme odziva.

Podaci koji proizlaze iz procesa dubinske analize paketa mogu se iznijeti u izvješćima. To vam omogućuje da vode rasprave sa dionicima o tome treba li proračun utrošiti na širenje infrastrukture ili treba li suviše aktivne aplikacije smanjiti ili odložiti.

OpManager je dostupan za besplatno nadgledanje deset čvorova ili manje na mreži. Sustavi veći od toga moraju koristiti plaćeni OpManager. Konzola za nadzor OpManager može se instalirati na Windows i Linux operativni sustavi.

4. nDPI

-nDPI mjesto

OpenDPI je open source projekt alata za analizu dubokih paketa. Projekt otvorenog koda omogućuje svakome da vidi izvorni kod aplikacije. To uvjerava korisnike da nema skrivenih trikova ili oštećivanja unutarnjih postupaka zlonamjernog softvera. nDPI iz Ntop-a temelji se na OpenDPI kodu i proširuje njegovu funkcionalnost. Dostupan je i izvorni kod za nDPI.

Ovaj model otvorenog koda daje vam mogućnost instaliranja takvog kakvog jeste ili mijenjanja sustava u skladu s potrebama vašeg poduzeća. Izmjene otvorenog koda vrlo su česte i mnogi ljudi koji stvaraju poboljšanja za takve sustave također stavljaju te nove značajke na raspolaganje zajednici. U nekim slučajevima će organizacija koja upravlja izvornim kodom prihvatiti te promjene u osnovnoj verziji. Ntop drži nDPI odvojen od izvornog OpenDPI, tako da imate dvije mogućnosti otvorenog koda.

nDPI djeluje na Sloj aplikacije. To znači da objedinjuje pakete prije ispitivanja njihovog sadržaja. Zaglavlja paketa govore mehanizmu za analizu koji protokol koristi prijenos i s kojeg luka je promet došao i otišao. Ta informacija identificira neusklađenost između aplikacija koje šalju podatke na mrežama i portova koje svaki koristi, za razliku od portova koje aplikacija treba koristiti za protokol koji slijedi.

NDPI sustav može prepoznati šifrirane pakete pregledom SSL sigurnosnog certifikata koji je odredio ključ za šifriranje za prijenos. Ovo je pametan uvid i zaobilazi poteškoće koje kodiranje predstavlja u dubokoj analizi paketa.

Softver nDPI može se instalirati na Windows, Linux, i MacOS. DPI modul podržava ostale Ntop proizvode nProbe i Ntop-NG. nProbe je sustav praćenja prometa koji sakuplja NetFlow poruke. NetFlow je signalni standard koji koristi Cisco Systems za svoje mrežne proizvode. Ovaj je sustav dostupan uz malu naknadu i radi dalje Linux i Windows. Ntop-NG je analizator prometa za mreže. Ovo je alternativni mrežni nadzorni sustav koji zapošljava SNMP poruke. Ntop-NG je dostupan za Windows, Unix, Linux, i Mac OS. Dostupan je u tri verzije, od kojih je jedna, izdanje zajednice, besplatno je.

5. Netifyd

Obavijestite screenshot

Unatoč tome što je ford OpenDPI, nDPI postaje sam standard i osnova je za niz drugih prilagodbi. Netifyd je jedan od takvih. To čini Netifyd i prilagodbu prilagodbe OpenDPI-a. Poput svojih predaka, Netifyd je proizvod otvorenog koda i možete vidjeti kôd koji čini program, sastaviti ga i koristiti ga. Alternativno, možete sami prilagoditi kod i završiti adaptacijom adaptacije jedne adaptacije OpenDPI-ja..

Netifyd će snimiti pakete, ali ne uključuje funkcije analize za tumačenje podataka ili poduzimanje radnji radi oblikovanja prometa ili blokiranja protokola. Za te funkcije trebate uvesti podatke Netifyd-a u drugu aplikaciju.

Ovaj je sustav dostupan na zajedničkim stranicama Egloo web stranica. Glavni proizvod Eglooa je mrežni monitor Netify koji se temelji na Netifyd-u, ali ima mnogo više značajki i nije besplatno. Ovaj vam alat nudi mogućnosti vizualizacije i sortiranja potrebnih za ispravno razumijevanje informacija koje nastaju prilikom dubinske provjere paketa. Početni paket Netifyja košta 25 dolara mjesečno. To izdanje omogućuje vam praćenje data do 25 uređaja a usluga će pohraniti vaše podatke dva dana. Viši paketi omogućuju vam duži vremenski horizont povijesnih podataka.

6. AppNeta

Snimka zaslona Appneta

AppNeta je sustav praćenja mreže temeljen na oblaku. Posebno je usmjeren na tvrtke koje upravljaju WAN-ovima i proširuju svoje mogućnosti u oblak. Softver koristi vlasničku metodologiju mrežnog prometa nazvanu TruPath, što je malo poput Traceroute s dodatnim izvješćivanjem o izvedbi.

Nakon što TruPath prikupi informacije, sustav dodaje podatke o prometu sakupljene dubinskim pregledom paketa. DPI modul djeluje na način da segmentira prometne metrike primjenom. Kako je AppNeta usmjerena na tvrtke koje intenzivno koriste internet za sav promet tvrtke. Sve provodi vanjska inspekcija paketa, smanjuje naprezanje koje mreže mogu pretjerano podnositi izvještajnim postupcima.

Informacija da se DPI modul prikuplja je poslan u podatkovni centar u oblaku. Motor za analizu domaćin je na daljinu, a ne na vašoj opremi. To čini nadzorne ploče i izvješća dostupna s bilo kojeg mjesta, ne samo u vašem štabu. Neutralnost lokacije ove konfiguracije omogućuje postavljanje upravljačke ploče za sustav s bilo kojeg mjesta na webu. Podaci se pohranjuju na AppNeta poslužitelje 90 dana, što vam daje dovoljno mogućnosti za analizu trendova i planiranje kapaciteta. Potražnja za aplikacijama obuhvaća i usluge oblaka kojima pristupa vaša tvrtka kao i internetske usluge koje vaše poslovanje pruža drugima.

Prezentacija AppNeta fokusirana je na nadzor izvedbe isporuke za aplikacije. Uključuje upozorenja o količini prometa po aplikaciji. Ta prometna upozorenja mogla bi služiti kao nadzornik jer nagli skokovi u prometu mogu ukazivati ​​na napad. Program uključuje analizu aktivnosti korisnika, što bi bilo korisno za praćenje sumnjivih aktivnosti i identificiranje kompromitiranih računa. Međutim, AppNeta nije pozicioniran kao sigurnosni alat.

AppNeta pokriva svu komunikaciju između vaših web lokacija i njihovog podatkovnog centra sa šifriranje.  Paket ne koristi alate za analizu podataka i tvrtka vam preporučuje korištenje alata treće strane, poput Wiresharka.

Ovaj sustav praćenja nije besplatan. Cijena usluge je 199 dolara po aplikaciji po lokaciji. Možete zatražiti besplatno suđenje sustava, ali tvrtka to ne nudi na određeno vrijeme. Na zahtjev možete ugovoriti probno razdoblje s prodajnim predstavnikom.

7. NetFort LANGuardian

Snimka zaslona LANGuardian

LANGuardian koristi dubinska inspekcija paketa prije svega kao sigurnosni alat. Sustav izdvaja pohlepne aplikacije i ispituje protokol promet u vašoj mreži koji koristi najveći propusni opseg.

Nadzorna ploča za sustav nudi sažetke podataka iz kojih možete pregledati dostupne podatke sve do korisničkih aktivnosti. Pokreće se LANGuardian softver Linux. Dolazi u paketu vlastito Linux sučelje, pa tako i može biti pokrenuti virtualne strojeve uključujući Microsoft Hyper-V. Međutim, neće se pokretati izravno na Windows-u. Ako želite koristiti LANGuardian na Windows računalu, instalirat ćete VMWare Player ili VirtualBox i pokrenuti softver putem tog sučelja..

LANGuardian sustav uključuje četiri elementa:

  • Motor za prikupljanje
  • Motor za analizu
  • Prometna baza podataka
  • Motor izvješćivanja

Kao i većina DPI sustava, ne možete analizirati žive podatke. Ovdje vam dolazi baza podataka. Informacije koje je prikupio agent za prikupljanje umetnute su u bazu podataka. Prikupljeni podaci mogu potom razvrstati i manipulirati analitičkim mehanizmom. To daje sustavu perspektiva na razini aplikacije na mrežnom prometu i omogućuje analizatoru praćenje obrazaca prometa po paketima. Međutim, ti se zapisi mogu sastaviti vrlo brzo i dodati im u stvarnom vremenu, tako da je moguće dobiti skorašnje prikaze vašeg mrežnog prometa.

Softver mora biti instaliran na jednom računalu u vašoj mreži i to računalo mora imati izravnu vezu s vašom osnovnom sklopkom. To daje agentu za prikupljanje moći kopirati sav promet koji prometuje preko vaše mreže. Taj kolektor postaje primarni senzor i stvara odnos jedan na jedan između sklopke jezgre i nadzorne konzole. Očito je da bi ta arhitektura onemogućila pokretanje LANGuardian sustava na distribuiranim mrežama, a posebno ne bi radila s WAN-ovima. U tim scenarijima, LANGuardian koristi daljinske senzore onaj udaljeni povratak od ostalih glavnih sklopki u vašoj organizaciji za centralizaciju analize podataka.

Sustav nije besplatan. Međutim, možete dobiti 30-dnevno besplatno probno razdoblje LANGuardian.

Kako odabrati DPI i softver za analizu

Dubinske inspekcije i analize paketa ne moraju se izvoditi samostalnim alatom. Možete dobiti DPI funkcionalnost integriranu u mnoge vrhunske mrežne sustave za nadzor. Ako imate malu mrežu i ne želite se pretpostavljati za sustave upravljanja mrežom, onda pogledajte besplatne verzije tih monitora velikih imena. Ako samo želite da poseban sustav izvrši dubinsku analizu paketa i ne želite da ti zadaci ometaju vaše redovno nadgledanje, tada ćete na našem popisu pronaći neke vrlo prikladne alate.

Pazite na instalaciju alata za analizu dubokih paketa jer oni izdvajaju podatke koji se prenose na vašoj mreži. Duboka inspekcija paketa mogla bi ugroziti privatnost podataka razmjenjenih u vašoj organizaciji. Trebao bi obratite se pravnom savjetniku vaše tvrtke prvo prije instaliranja bilo kojeg mrežnog alata koji će vam omogućiti snimanje podataka dok prelazi preko mreže. Privatnost podataka i kontrola pristupa mogu se ugroziti davanjem pristupa administrativnom osoblju mreže. U nekim se slučajevima tvrtka mora obvezati ograničiti pristup osobnim podacima članova javnosti koji se nalaze na imovini tvrtke. Tako, pobrinite se da ne izvršavate te obaveze instaliranjem alata DPI.

Mogućnost provjere prometa na razini paketa sigurno je korisna kada naiđete na probleme vezane uz mrežne performanse. Analiza dubokih paketa ide korak dalje i dalje čita sadržaj svakog paketa. Morate uvjeriti sebe i upravni odbor da su vam zaista potrebne takve razine informacija da biste zaštitili mrežu prije instaliranja DPI sustava.

Koristite li trenutno tehnike dubokog pregleda paketa kako bi održali svoju mrežu dobro? Jeste li se susreli s pravnim problemima u vezi s pitanjem privatnosti podataka tijekom korištenja alata DPI? Neka zajednica nauči na vašem iskustvu ostavljajući poruku u odjeljku s komentarima u nastavku.

Slika: Raspberry Pi Model B u slučaju PiHouse - operira Tim Walker putem Flickr-a. Licencirano pod CC BY-SA 2.0 (modificirano: dodatni tekst dodan)

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

8 + 2 =

Adblock
detector