تقی حسن زاده، پایگاه خبری دانا، سرویس دانش و فناروی؛ Deep packet inspection (DPI) یا بازرسی بسته عمیق ، یک روش پیشرفته برای بررسی و مدیریت ترافیک شبکه است. DPI شکلی از فیلترینگ بسته است که بستهها با دادهها یا payload های کد خاص را مکانیابی، شناسایی، طبقهبندی، مسیریابی مجدد و یا مسدود میکند. فیلترینگ بسته معمولی، فقط header های بسته را بررسی میکند، و نمیتواند آنها را شناسایی کند.
بازرسی بسته عمیق چیست؟
به طور معمول، مدیران سیستم نمی خواهند چیزی بین فرستنده و سرور قرار گیرد. به عنوان مثال، در طول حملاتی که در این میان صورت می گیرد، هکرها در وسط جریان گفتگو می نشینند و داده ها را سرقت می کنند. اما در هنگام بازرسی عمیق بسته، فایروال مانند یک فیلتر عمل می کند، قبل از اینکه گیرنده یادداشت را ببیند همه چیز را بررسی می کند.
هر بار که شخصی می خواهد چیزی برای شما بفرستد، آن جریان اطلاعات بر اساس پروتکل پیام کنترل اینترنت به بسته هایی تبدیل می شود. هر کدام بخشی از پیام را به همراه یک هدر دارند. این هدر حاوی اطلاعاتی در مورد فرستنده است و شامل دستورالعمل هایی برای مونتاژ مجدد است. هنگامی که همه بسته ها می رسند، سرور می تواند پیام را برای تحویل دوباره کنار هم قرار دهد. در یک سیستم فیلترینگ بسته معمولی، ابزارها هدر هر بسته را تجزیه و تحلیل می کنند و بازرسی بسته های عمیق فراتر می رود. در طول بازرسی عمیق بسته، سیستم ها همچنین می توانند محتویات بسته را بخوانند، و فیلترها همچنین به مدیران اجازه میدهند تا اطلاعاتی را که از یک آدرس اینترنتی خاص میآیند، تغییر مسیر دهند و میتوانند پیامهایی را که از یک برنامه مشخص میآیند، مورد هدف قرار دهند.
ممکن است از بازرسی بسته عمیق برای محافظت از شرکت خود در برابر هکرها، ویروس ها، هرزنامه ها یا محتوای توهین آمیز استفاده کنید. در حالی که شرکت های خصوصی از بازرسی بسته برای محافظت از سرورهای خود استفاده می کنند، بسیاری از سازمان های بزرگ همین کار را انجام می دهند. به عنوان مثال، ارائه دهندگان خدمات اینترنتی از فایروال های DPI برای ضبط اطلاعات برای ذخیره سازی طولانی مدت استفاده می کنند. اگر مقامات این داده ها را درخواست کنند، ISP می تواند مطابقت کند.
بازرسی بسته عمیق چگونه کار میکند؟
بازرسی بسته عمیق محتویات بستههایی را که از یک نقطه بازرسی معین عبور میکنند بررسی کرده و براساس محتوای بسته و قوانین تعیین شده توسط شرکت، ارائه دهنده خدمات اینترنتی یا مدیر شبکه، تصمیمات بلادرنگ میگیرد.
فیلترینگ بستههای معمولی فقط به اطلاعات header بسته نگاه میکرد، که مشابه خواندن آدرس روی پاکتنامه است، بدون اینکه از محتویات پاکت اطلاعی داشته باشید. این روش تا حدودی به دلیل محدودیتهای تکنولوژی، قدیمیتر بود.
تا همین اواخر، فایروالها قدرت پردازش لازم برای انجام بازرسیهای عمیقتر در حجم زیاد ترافیک را بصورت بلادرنگ نداشتند. پیشرفتهای تکنولوژی، DPI را قادر ساخته تا بازرسیهای پیشرفتهتری را انجام دهد تا بتواند هم header های بسته و هم دادهها را بررسی کند.
DPI میتواند محتویات یک پیام را بررسی کند و برنامه یا سرویس خاصی که آن پیام را ارسال کرده شناسایی کند. علاوه بر این، فیلترها را میتوان طوری برنامهریزی کرد که ترافیک شبکه را از یک محدوده آدرس پروتکل اینترنت خاص یا یک سرویس آنلاین خاص مانند Facebook یا Twitter جستجو کرده و آنها را تغییر مسیر دهد.
کاربردهای رایج بازرسی بسته عمیق چیست؟
DPI عمدتاً توسط فایروالهای دارای ویژگی سیستم تشخیص نفوذ، توسط IDS های مستقل که هم برای شناسایی حملات و هم محافظت از شبکه کاربرد دارند استفاده میشود.
میتوان از آن به عنوان یک ابزار امنیتی شبکه برای شناسایی و رهگیری ویروسها، کرمها، جاسوس افزارها و سایر اشکال ترافیک مخرب و تلاشهای نفوذ، به منظور اهداف خیرخواهانه استفاده کرد. همچنین میتوان آن را برای اقدامات خرابکارانهای مانند استراق سمع و state-sponsored censorship نیز بکار برد.
بازرسی عمیق بسته همچنین برای مدیریت شبکه و اجرای سیاست محتوا مفید است تا نشت دادهها را متوقف کرده و جریان ترافیک شبکه را بر اساس کاربرد ساده یا اصلاح کند.
به عنوان مثال، پیامی که با اولویت بالا برچسبگذاری شده میتواند قبل از پیامها یا بستههای کم اهمیت یا با اولویت پایین به مقصد هدایت شود. همچنین DPI میتواند برای کاهش انتقال دادهها جهت جلوگیری از سوء استفاده نظیر به نظیر و در نتیجه بهبود عملکرد شبکه استفاده شود.
از آنجایی که DPI شناسایی فرستنده یا گیرنده محتوای حاوی بستههای خاص را ممکن میسازد، باعث نگرانی طرفداران حریم خصوصی و مخالفان بیطرفی شبکه شده است.
بازرسی عمیق بسته در لایه application مدل مرجع OSI انجام میشود.
با آنلاین شدن بیشتر دستگاهها (از جمله ابزارهای موبایل و لوازم متصل)، بازرسی عمیق بستهها بیشتر و بیشتر میشود. رویکردهای زیادی وجود دارد که به مدیران سیستم امکان سفارشی سازی تقریباً بی پایان را می دهد. اما، مدیر سیستم، ارائهدهنده شبکه یا نهاد دیگری قوانینی را ایجاد میکنید تا در بازرسی عمیق بستهها اعمال شوند.
رویکردهای رایج عبارتند از:
• تطبیق الگو. هر حمله با امضای قابل تکرار همراه است. هرچه تیمها از نحوه عملکرد هک بیشتر بدانند، میتوانند جزئیات بیشتری را در فیلترهای خود برنامهریزی کنند. به عنوان مثال، هک موفقیت آمیز علیه Capital One در سال 2019 منجر به انتشار 140 هزار شماره تامین اجتماعی شد. تجزیه و تحلیل قانونی آن هک، اعمال شده در قوانین بازرسی بسته عمیق، می تواند حمله مشابه بعدی را مسدود کند.
• به طور پیش فرض رد کنید. برنامه نویسان این رویکرد را به عنوان محدود کردن ترافیک فقط به موارد ضروری توصیف می کنند. سیستم هر چیز دیگری را انکار می کند، حتی اگر احتمالاً معتبر باشد. از این تکنیک استفاده کنید و بر اساس نحوه عملکرد شبکه شما، هر چیزی را که صراحتاً از ایمن بودن آن مطمئن نیستید، مسدود خواهید کرد.
• پیش فرض های سیستم . ارائه دهنده فایروال شما ممکن است قوانین فعلی شبکه DPI را داشته باشد. آنها را همانطور که هستند رها کنید و به شرکت اجازه می دهید از شما محافظت کند. شما می توانید هر چند وقت یکبار که نیاز دارید رویکرد و قوانین خود را تغییر دهید. اما تنظیم تنظیمات شما می تواند هم زمان و هم تخصص را ببرد.
چگونه DPI می تواند به شما کمک کند و به شما آسیب برساند
از بازرسی عمیق بسته ها به درستی استفاده کنید، تا بتوانید از خطر امنیتی بزرگ بعدی که شرکت شما با آن مواجه است جلوگیری کنید. اما برخی از اشکالات در انتظار شما خواهند بود.
یک فایروال DPI با طراحی خوب می تواند به شما کمک کند از حملاتی که در داده های به ظاهر بی ضرر تعبیه شده است جلوگیری کنید. بازرسی عمیق بسته اعتباری برای متوقف کردن مواردی مانند:
• بد افزار. اگر یک هکر از کدی استفاده کرده باشد که فایروال شما آن را تشخیص می دهد، فیلترهای شما می توانند مانع از تماس آن با سیستم شما شوند.
• هرزنامه ها. اگر یک فروشنده دائمی چندین پیام ارسال کند، می توانید آن شخص را از دسترسی مجدد به سیستم خود مسدود کنید.
• سرقت. شما می توانید بسته های مملو از اسرار شرکت یا داده های ارزشمند را از خروج از سرورهای خود مسدود کنید.
• عدم انطباق. شما کارکنان خود را آموزش می دهید که چیز خطرناکی را وارد نکنند و چیز ارزشمندی را به بیرون ارسال نکنند. فایروال DPI شما این قوانین را اجرا می کند، فقط در صورتی که تیم شما فراموش کند.
• آموزش. سیستم DPI شما همچنین میتواند مواردی را ثبت کند که خطرناک به نظر میرسند اما آستانه مسدود شدن را برآورده نمیکنند. مطالعه آن یادداشتها میتواند به شما در درک چشمانداز امنیتی خاص خود کمک کند تا بتوانید مطابق با آن تنظیم کنید.
چالش های رایج مرتبط با بازرسی بسته های عمیق عبارتند از:
• تحریک. قوانین را خیلی محکم قفل کنید، کارکنان شما ممکن است نتوانند آزادانه با هم ارتباط برقرار کنند. مشتریان شما نیز ممکن است نتوانند با شما تماس بگیرند.
• عوارض . در بیشتر موارد باید ابزارهای DPI خود را برنامه ریزی کنید. شما باید کمی در مورد کدها و تهدیدها بدانید و ایجاد تغییرات می تواند زمان بر باشد.
• سرعت. سیستم شما برای بررسی هر بسته به زمان نیاز دارد و در حالی که کاربران نهایی شما ممکن است متوجه تاخیر در ارتباطات استاندارد (مانند ایمیل) نشوند، ممکن است تغییر را در رسانه های دیگر (مانند ویدئو) مشاهده کنند.
امکان دارد تصمیم بگیرید که محافظت هایی که از بازرسی عمیق بسته دریافت می کنید بسیار بیشتر از خطرات آن است. اما مطمئن شوید که قبل از ورود به سیستم میدانید به چه چیزی وارد میشوید.