Водич за дубинску инспекцију пакета (ДПИ) који садржи 7 најбољих ДПИ алата

7 најбољих алата за дубинску анализу пакета


Дубинска анализа пакета је мрежна методологија која је посебно корисна у фиревалл-у. Употреба дубинских прегледа пакета повећана је последњих година јер се може користити као део системи за откривање упада (ИДС-ови) и системи за спречавање упада (ИПС).

Заштитни зидови традиционално блокирају приступ мрежи. Филтри у фиревалл-у такође могу блокирати приступ листи веб локација увидом у одредишну ИП адресу која се налази у заглављу пакета.

Улазимо у дубину сваког алата даље доле, али у случају да немате времена да прочитате цео комад, ево наше листе најбољи алати за инспекцију и анализу дубоких пакета:

  1. Монитор перформанси СоларВиндс (БЕСПЛАТНО ИСПИТИВАЊЕ) - Овај алат за надгледање мреже укључује дубинску инспекцију пакета ради препознавања изворних и одредишних апликација и крајњих тачака на мрежном саобраћају.
  2. Паесслер Панирање Њушкало с ПРТГ (БЕСПЛАТНО СУЂЕЊЕ) - ПРТГ систем је алат за праћење инфраструктуре и укључује сензор за пакет.
  3. ОпМанагер - Ово је мрежни монитор перформанси који може да снима пакете за ванмрежну анализу. Алат ради на Виндовс и Линук-у.
  4. нДПИ - Овај алат прегледава пакете на апликацијском слоју, што значи да вам је потребан међуспремник промета ради прегледа.
  5. Нетифид - Прилагодба нДПИ-а који обухвата пакете за преглед од стране других служби.
  6. АппНета - Цлоуд систем праћења мреже који укључује анализу саобраћаја ван мреже.
  7. НетФорт ЛАНГуардиан - Мрежни алат за анализу безбедности који користи ДПИ и ради на Линуку.

СПИ ВС ДПИ

Напредак на гатеваи-има који испитују ИП заглавље су „државнички”Фиревалл. Они запошљавају Државна инспекција пакета (СПИ). Овом методологијом се истражују заглавља ТЦП или УДП, која су затворена у ИП пакету. Државна инспекција пакета такође је позната и као плитка инспекција пакета. Инспекција дубинских пакета (ДПИ) гледа оптерећење података пакета.

СПИ испитује појединачне пакете како их процесуира гатеваи, и селективно одустаје од одлазних захтева или долазних пакета података који нису у складу са безбедносном политиком мреже. "Државни" део имена односи се на податке о вези. Ватрозид снима податке о заглављу који се односе на ТЦП везу, што му омогућава да прати ток пакета. Врста стања заглављених стања које ватрозид сакупља укључује редни број пакета.

Изврсни ватрозид обично похрањује ове податке о вези у меморију, омогућујући јој да одабере протоке повезаних пакета док пролазе кроз интерфејс. Подаци о повезивању чувају се у динамичној табели. Једном када се веза затвори, те се информације бришу из табеле како би се ослободила меморија. Изврсни заштитни зид вјероватно ће блокирати везе док су у току. Државна инспекција пакета фокусирана је само на живе податке.

ДПИ прикупља пакете како би их прегледао као групу, тако да се редовни саобраћај наставља даље, док се копије прикупљају на анализу. Због тога се ДПИ често назива и „дубинска анализа пакета.„ДПИ-ју је потребно дуже да се произведе интелигентнији интелигенција него СПИ.

Предности дубинске инспекције и анализе пакета

Системи за откривање провале траже „потписе“ у промету података како би идентификовали неправилну активност. Један трик који хакери користе како би заобишли ове системе за откривање потписа је поделите пакете на мање сегменте. Ово шири обрасце за којима се тражи плитка анализа пакета, тако да ниједан пакет не садржи тај потпис и напад пролази. ДПИ анализа поново саставља токове пакета из истог извора, па се напади потписи могу открити чак и када се расподјељују на неколико долазних пакета.

Када је ДПИ анализа део система за спречавање провале, тренутни резултати анализе генеришу и примењују радње за аутоматску одбрану система. Таква акција може укључивати блокирање свих пакета који стижу са одређеног ИП адресе или чак низа адреса.

Откривање напада

Колекција пакета омогућава ДПИ-у да идентификује врсте напада које би пропустеле државне анализе. Примери за то су неправилна употреба стандардних мрежних алата, као такав Поверсхелл или ВМИ, и прекомерно оптерећење запремине, као такав напади преливања међуспремника. Употреба редовних услужних програма за вирусне инфекције или шпијунски софтвер значи да се не може применити забрана апликација за које хакери знају да их користе. То је зато што су ови системски програми неопходни за испоруку апликација и услуга легитимним корисницима. Дакле, дубинска инспекција и анализа пакета улаже се у испитивање образаца употребе тих системских услуга и селективно корен из саобраћаја који показује сумњиво понашање. Тако се може препознати злонамерна активност иако се на почетку чини да је то легитиман саобраћај.

Спречавање цурења података

Превенција цурења података је још једна употреба за дубинску анализу пакета. Ово траје бела листа приступ. Компанија може поставити политику да нико не сме да копира податке на меморијску картицу или шаље прилоге е-поште. Али постоје легитимни случајеви у којима су такве акције неопходне. У овом случају, ДПИ би био обавештен да дозволи оно што би се у супротном третирало као неовлашћена активност. Том кориснику не би требало бити дозвољено да шаље ниједну датотеку, и тако функција ДПИ одржава активности праћења ради блокирања преноса датотека који нису одобрени привитак.

Најбољи алати за дубинску инспекцију и анализу пакета

Софистицирани мрежни надзорни системи сада укључују рутинске анализе пакета. Дакле, овај уређај можете добити као део вашег општег софтвера за управљање мрежом. Неки провајдери софтвера производе софтвер за заштиту мреже који укључује дубинску анализу пакета.

1. СоларВиндс Монитор перформанси мреже (БЕСПЛАТНО ИСПИТИВАЊЕ)

Монитор перформанси мреже СоларВиндс

Тхе СоларВиндс инспекција и анализа дубинских пакета са НПМ-ом користи низ техника за надгледање и управљање мрежним саобраћајем. Главни елемент користи СНМП систем за размену порука који је својствен фирмверу мрежне опреме. Међутим, одељци за анализу користе се на монитору дубинска инспекција пакета (ДПИ) као део услуга препознавања мрежног понашања алата.

Сврха ДПИ у алату СоларВиндс задовољава два циља мрежних администратора. Прво је идентификовати врсте саобраћаја који троше већину ресурса система. Прекомјерно оптерећење мреже отежава радно окружење свима и важно је тачно открити одакле та потражња потиче. ДПИ пружа ове податке и након што су идентификовани штитници ресурса, мрежном администратору је лакше да одлучи шта да ради у вези са њима.

Дубока инспекција пакета такође даје сигурносне функције мрежног пратилаца. ДПИ технике ће идентификовати одређене кориснике и апликације које изазивају нагле промета и приказују нередовито понашање. Ти врхови потражње могли би проузроковати хакерски напади, међутим могу их проузроковати и пословни захтеви, попут обраде рачуна на крају месеца. ДПИ вам омогућава да видите да ли су ти навале произведене законитим пословним активностима. Неправилно понашање може бити блокирано.

Праћење корисника може истакнути необичну активност. На пример, један кориснички налог је могао бити угрожен, због чега је корисник приступио услугама које нису повезане са уобичајеним активностима. Пријаве са различитих физичких локација у кратком року такође могу да идентификују кориснички налог који је угрожен.

Показало се да компанија СоларВиндс користи дубинску анализу пакета у мрежном монитору перформанси ова техника није корисна само стручњацима за безбедност. СоларВиндс укључује дубинску анализу пакета за откривање упада, али такође користи систем да помогне у формирању редовног промета и испитивању категорија апликација које преоптерећују систем. Употреба ДПИ-а за подршку легитимним пословним активностима указује напријед за све системе надгледања мреже. Софистициране методе ДПИ-ја сада постају маинстреам и постаће централни део свих система за надгледање мрежног саобраћаја у будућности.

Мрежни монитор перформанси није бесплатан. Цена овог система почиње од 2.955 долара. Међутим, можете добити бесплатно пробно раздобље у трајању од 30 дана. Монитор перформанси СоларВиндс мреже може се инсталирати само на Виндовс Сервер оперативни системи.

СоларВиндс Нетворк Перформанце МониторДовнлоад 30-дневна БЕСПЛАТНА пробна верзија

2. Паесслер Панирање Њушкало помоћу ПРТГ (БЕСПЛАТНО ИСПИТИВАЊЕ)

Паесслер ПРТГ командна табла

Паесслер Пакет њушка с ПРТГ-ом је свеобухватан алат за надгледање мреже који укључује ДПИ у своје поступке прикупљања података. Пакетна њушка ПРТГ анализира посебне типове промета да би се надгледала употреба ресурса и неправилне активности. Монитор извештава о тим врстама саобраћаја и њиховој пропусности укључујући веб промета, активност поштанског сервера, и трансфер датотека. Ове контроле могу бити веома корисне за наметање смерница за безбедност поште и података, и омогућиће вам да уочите нагледе у саобраћају који могу бити показатељи упада или цибер напада.

Ако сте посебно заинтересовани за употребу дубинска анализа пакета ради сигурности, затим информације које ћете добити даље ДХЦП, ДНС, и ИЦМП саобраћај би вам требао бити од посебне користи.

Страница сензора пакета на ПРТГ командној плочи има функције бројчанике и графиконе да вам помогне да брзо схватите податке о саобраћају.

Паесслер ПРТГ се може инсталирати на Виндовс и постоји бесплатна верзија за мале мреже. Ово ће покрити 100 сензора на вашој мрежи. Сензор је тачка надгледања на мрежи, као што је порт или стање попут слободног простора на диску. Можете преузети софтвер за а овде је бесплатно пробно време.

Паесслер Панирање Њушкало с ПРТГПреузми 30-дневни БЕСПЛАТНИ ПРОМЕН

3. МанагеЕнгине ОпМанагер

ОпМанагер контролна табла

ОпМанагер МанагеЕнгине је још један од водећи мрежни системи за надгледање на тржишту данас. Овај монитор користи СНМП методе за непрекидно надгледање мреже и праћење статуса уређаја. Функције дубинске провере пакета ОпМанагер додају управљање прометом у систем.

Као што се и очекује са ДПИ, анализа се врши ван мреже. Пакети који се испитују прво се уписују у ПЦАП датотеку. Ове датотеке дају изворне информације за анализу.

Функције дубинске анализе пакета ОпМанагер-а имају за циљ да открију разлоге за слабе перформансе мреже, а не да открију упад. Из анализе се извлаче две метрике: времена реакције мреже и времена реакције апликације. Администратор може уочити које апликације дјелују лоше и можда ће им требати више ресурса од стандардних мрежних функција. Затим можете одлучити да ли ћете повећати ресурсе за послуживање гладних апликација, истражити ефикасније алтернативе или ограничити пропусни опсег који је доступан тој апликацији како би се важнијим мрежним услугама омогућило боље време одзива.

Подаци који потичу из процеса дубинске анализе пакета могу се изнијети у извјештајима. То вам омогућава воде дискусије са заинтересованим странама о томе да ли буџет треба да се потроши на ширење инфраструктуре или да ли прекомерне апликације треба смањити или одложити.

ОпМанагер је доступан за праћење десет чворова или мање на мрежи. Системи већи од тога морају да користе плаћени ОпМанагер. ОпМанагер надзорна конзола може се инсталирати на Виндовс и Линук оперативни системи.

4. нДПИ

-нДПИ сите

ОпенДПИ је опен соурце пројекат алата за анализу дубоких пакета. Пројект отвореног кода омогућава било коме да види изворни код апликације. То уверава кориснике да нема скривених трикова или оштећењем поступака злонамјерног софтвера закопаних унутра нДПИ из Нтоп-а заснован је на ОпенДПИ коду и проширује његову функционалност. Доступан је и изворни код за нДПИ.

Овај модел отвореног кода даје вам могућност да га инсталирате онаквим какав јесте или измените систем у складу са потребама вашег предузећа. Модификација отвореног кода је веома честа и многи људи који стварају побољшања за такве системе такође стављају те нове функције на располагање заједници. У неким случајевима ће организација која управља изворним кодом прихватити те промене у основној верзији. Нтоп држи нДПИ одвојен од оригиналног ОпенДПИ, тако да имате две опције отвореног кода.

нДПИ ради на Апликацијски слој. То значи да обједињује пакете пре него што испита њихов садржај. Заглавља пакета говоре механизму за анализу који протокол користи и са којег порта је дошао промет и отишао. Та информација идентификује било какву неусклађеност између апликација које шаљу податке на мрежама и портова које сваки користи, за разлику од портова које апликација треба да користи за протокол који следи.

НДПИ систем може да идентификује шифроване пакете гледајући ССЛ безбедносни сертификат који је одредио кључ за шифровање за пренос. Ово је паметан увид и заобилази потешкоће које шифровање представља у дубокој анализи пакета.

Софтвер нДПИ се може инсталирати на Виндовс, Линук, и МацОС. ДПИ модул подржава друге Нтоп производе нПробе и Нтоп-НГ. нПробе је систем за праћење саобраћаја који сакупља Нето прилив поруке. НетФлов је стандард сигнализације који користи Цисцо Системс за своје мрежне производе. Овај систем је доступан за малу накнаду и наставља даље Линук и Виндовс. Нтоп-НГ је анализатор саобраћаја за мреже. Ово је алтернативни систем за надгледање мреже који користи СНМП поруке. Нтоп-НГ је доступан за Виндовс, Уник, Линук, и Мац ОС. Доступан је у три верзије, од којих је једна, издање заједнице, је бесплатно.

5. Нетифид

Нетифи сцреенсхот

Упркос томе што је форка ОпенДПИ-ја, нДПИ постаје сам стандард и основа је за бројне друге адаптације. Нетифид је један од таквих. То чини Нетифид и прилагођавање адаптације ОпенДПИ-ја. Као и његови преци, Нетифид је производ отвореног кода и можете видети код који чини програм, саставити га и користити га. Алтернативно, можете сами да прилагодите код и на крају завршите са адаптацијом адаптације адаптације ОпенДПИ-ја..

Нетифид ће снимити пакете, али не укључује функције анализе за тумачење података или предузимање радњи за обликовање саобраћаја или блокирање протокола. Морате да увезете Нетифид податке у другу апликацију за те функције.

Овај систем је доступан на страницама заједнице Еглоо веб сајт. Главни производ Еглоо-а је мрежни монитор Нетифи који је заснован на Нетифид-у, али има много више функција и није бесплатно. Овај алат вам нуди могућности визуелизације и сортирања потребних да бисте правилно разумели информације које настају приликом дубинске инспекције пакета. Стартер пакет Нетифи кошта 25 долара месечно. То издање вам омогућава да пратите дата до 25 уређаја а услуга ће чувати ваше податке два дана. Виши пакети вам омогућавају дужи временски хоризонт историјских података.

6. АппНета

Снимка екрана Аппнета

АппНета је систем за праћење мреже у облаку. Посебно је намењен компанијама које управљају ВАН-овима и проширују своје могућности у облак. Софтвер користи власничку методологију мрежног саобраћаја под називом ТруПатх, што мало личи на Трацероуте са додатним извештавањем о перформансама.

Након што ТруПатх прикупи информације, систем додаје детаље о саобраћају сакупљене дубинским прегледом пакета. ДПИ модул делује на сегментирању метрике промета путем апликације. Како је АппНета намењена предузећима која интензивно користе интернет за сав саобраћај у компанији. Све проводи пакет за инспекцију пакета, смањење напрезања које прекомјерне процедуре пријављивања могу ставити на мреже.

Информација да се ДПИ модул прикупља је послата у облачни центар података. Мотор за анализу налази се на даљину, а не на било којој вашој опреми. Ово чини надзорне табле и извештаје доступне са било које локације, не само у вашем штабу. Неутралност локације ове конфигурације чини управљачку плочу за систем доступном с било којег мјеста на вебу. Подаци се чувају на АппНета серверима 90 дана, што вам пружа довољно могућности за анализу трендова и планирање капацитета. Потражња за апликацијама покрива и услуге облака којима приступа ваша компанија као и мрежне услуге које ваше предузеће пружа другима.

АппНета презентација се фокусира на праћење перформанси испоруке за апликације. То укључује упозорења о количини саобраћаја по апликацији. Та упозорења у саобраћају могла би да делују као безбедносни надзор нагли скокови у саобраћају могу указивати на напад. Услужни програм укључује анализу активности корисника, што би било корисно за праћење сумњивих активности и идентификовање компромитованих налога. Међутим, АппНета није позиционирана као безбедносно средство.

АппНета покрива сву комуникацију између веб локација и његовог дата центра са енкрипција.  Пакет не користи алате за анализу података и компанија вам препоручује да употребљавају алат треће стране, као што је Виресхарк.

Овај систем праћења није бесплатан. Цијена услуге је 199 УСД по апликацији по локацији. Можете да затражите бесплатно пробно време система, али компанија то не нуди на одређено време. На захтев можете да преговарате о пробном року са продајним представником.

7. НетФорт ЛАНГуардиан

Снимак екрана за ЛАНГуардиан

ЛАНГуардиан користи дубинска инспекција пакета пре свега као безбедносни алат. Систем изолује апликације похлепне према ресурсима и испитује протоколски промет у вашој мрежи који користи највећи пропусни опсег.

Инструментална табла за систем нуди сажетке података из којих можете детаљно прегледати доступне информације све до корисничких активности. Покреће се ЛАНГуардиан софтвер Линук. Долази у пакету сопствени Линук интерфејс, тако може и бити покрените виртуелне машине укључујући Мицрософт Хипер-В. Међутим, неће се покретати директно на Виндовс-у. Ако желите да користите ЛАНГуардиан на Виндовс рачунару, инсталират ћете ВМВаре Плаиер или ВиртуалБок и покренути софтвер кроз тај интерфејс.

ЛАНГуардиан систем укључује четири елемента:

  • Мотор за прикупљање
  • Мотор за анализу
  • Прометна база података
  • Мотор извештавања

Као и већина ДПИ система, не можете да анализирате живе податке. Овде вам долази база података. Информације које је прикупио агент за прикупљање убачени су у базу података. Тада прикупљени подаци могу бити сортирани и манипулирани од стране аналитичког мотора. То даје систему перспектива на нивоу апликације о мрежном промету и омогућава анализатору да прати обрасце саобраћаја кроз све пакете. Међутим, ти се записи могу врло брзо саставити и додати им у стварном времену, тако да је могуће добити скоро тренутне приказе вашег мрежног промета.

Софтвер мора бити инсталиран на једном рачунару у вашој мрежи и тај рачунар мора имати директну везу са вашом основном склопком. То даје агенту за прикупљање моћи да копира сав саобраћај који пролази преко ваше мреже. Тај колектор постаје примарни сензор и ствара однос један на један између језгреног прекидача и конзоле за надгледање. Очигледно је да би та архитектура спречила ЛАНГуардиан систем да буде распоређен на дистрибуираним мрежама, а нарочито не би радио са ВАН-овима. У тим сценаријима, ЛАНГуардиан користи даљинске сензоре оно удаљено од осталих главних преклопника у вашој организацији да бисте централизовали анализу података.

Систем није бесплатан. Међутим, можете добити 30-дневно бесплатно пробно време од ЛАНГуардиан.

Како одабрати ДПИ и софтвер за анализу

Дубинске инспекције и анализе пакета не морају се изводити самосталним алатом. Можете добити ДПИ функционалност интегрисану у многе врхунске мрежне системе за надгледање. Ако имате малу мрежу и не желите да се претпостављате за системе управљања мрежом, онда погледајте бесплатне верзије тих мрежних монитора великог имена. Ако само желите да посебан систем изврши дубинску анализу пакета и не желите да ти задаци ометају редовно надгледање, тада ћете на нашој листи наћи неке врло погодне алате.

Пазите на инсталирање алата за анализу дубоких пакета јер они издвајају податке који се преносе на вашој мрежи. Дубока инспекција пакета може угрозити приватност података који се размењују у вашој организацији. Требао би обратите се правном саветнику ваше компаније прво пре инсталирања било ког мрежног алата који ће вам омогућити да снимите податке док прелазе мрежу. Приватност података и контрола приступа могу бити угрожени давањем приступа административном особљу мреже. У неким случајевима, компанија се мора обавезати да ће ограничити приступ личним подацима чланова јавности о имовини предузећа. Тако, уверите се да не постављате те обавезе инсталирањем алата ДПИ.

Могућност провере промета на нивоу пакета је свакако корисна када наиђете на проблеме мрежних перформанси. Дубока анализа пакета иде корак даље чита садржај сваког пакета. Морате уверити себе и управну управу да су вам заиста потребни подаци који су у циљу заштите мреже пре инсталирања ДПИ система.

Да ли тренутно користите технике дубоког прегледа пакета како би одржали своју мрежу добро? Да ли сте наишли на правне проблеме око питања приватности података током коришћења ДПИ алата? Нека заједница научи на вашем искуству остављајући поруку у одељку за коментаре испод.

Слика: Распберри Пи Модел Б у случају ПиХоусе - оперативао Тим Валкер преко Флицкр-а. Лиценцирано под ЦЦ БИ-СА 2.0 (модификовано: додатни текст је додан)

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

46 − = 40