内容简介:深度数据包分析(deep packet analysis,DPA)是一种在防火墙中特别有用的网络方法。近年来,DPA的使用有所增加,因为它可以用作入侵检测系统(IDS)和入侵防御系统(IPS)的一部分。传统上,防火墙阻止对网络的访问。防火墙中的过滤器还可以通过检查数据包标头中包含的目标IP地址来阻止对网站列表的访问。检查IP头的网关的进步是“有状态”防火墙。它们检查TCP或UDP标头,它们包含在IP数据包中。状态包检测也称为浅包检测。深度数据包检查会查看数据包的数据有效负载。浅包检查会检查网关处理的各个数
深度数据包分析(deep packet analysis,DPA)是一种在防火墙中特别有用的网络方法。近年来,DPA的使用有所增加,因为它可以用作入侵检测系统(IDS)和入侵防御系统(IPS)的一部分。
传统上,防火墙阻止对网络的访问。防火墙中的过滤器还可以通过检查数据包标头中包含的目标IP地址来阻止对网站列表的访问。检查IP头的网关的进步是“有状态”防火墙。它们检查TCP或UDP标头,它们包含在IP数据包中。状态包检测也称为浅包检测。深度数据包检查会查看数据包的数据有效负载。
浅包检查会检查网关处理的各个数据包,并有选择地丢弃不符合网络安全策略的传出请求或传入数据包。深度数据包检查收集要作为一个组进行检查的数据包,因此在收集副本进行分析时,常规流量将继续进行。这就是DPI通常被称为“深度数据包检测”的原因。深度数据包检查比浅层数据包检查需要更长的时间。
深度数据包分析的好处
入侵检测系统在数据流量中寻找“签名”以识别不规则活动。黑客用来绕过这些签名检测系统的一个技巧是将数据包分成更小的段。这会混过浅层数据包分析所寻找的模式,因此没有一个数据包包含签名,攻击就会通过。深度数据包分析重新组合来自同一源的数据包流,因此即使分布在多个传入数据包上,也可以检测到攻击特征。
当深度数据包分析是入侵防御系统的一部分时,正在进行的分析结果会生成并应用操作来自动保护系统。这样的动作可以包括阻止从特定源IP地址或甚至一系列地址到达的所有分组。
攻击检测
数据包的收集使DPI能够识别有状态分析可能遗漏的攻击类型。这些示例包括不规范的使用标准网络实用程序(如Powershell或WMI)和定向卷过载(如缓冲区溢出攻击)。在病毒感染或间谍软件操作中使用常规系统实用程序,意味着无法执行已知黑客使用的应用程序的禁令。这是因为这些系统实用程序对于向合法用户提供应用程序和服务至关重要。因此,深度数据包分析步骤检查这些系统服务的使用模式使用情况,并有选择地根除显示可疑行为的流量。因此,即使最初看起来是合法的流量,也可以识别恶意活动。
数据泄漏防护
数据泄漏防护是深度数据包分析的另一种用途。这采用白名单方法。公司可以制定一项政策,不允许任何人将数据复制到USB或发送电子邮件附件。但是有合理的情况需要这样的行动。在这种情况下,将通知DPI以允许通过否则将被视为未授权活动的内容。不应该允许该用户发送任何文件,因此DPI功能会持续监视活动以阻止授权附件以外的文件传输。
实施深度包分析
现在,复杂的网络监控系统包括深度数据包分析程序。因此,你可以将此 工具 作为常规网络管理软件的一部分。一些软件提供商生产包含深度数据包分析的网络防御软件。以下是7个深度数据包分析工具:
1.Paessler PRTG(免费试用)
Paessler PRTG系统是一个全面的网络监控工具,在其数据收集过程中包括深度数据包检测。PRTG的数据包嗅探器分析特定的流量类型,以监控资源使用情况和不规则活动。监控报告这些流量类型及其吞吐量,包括Web流量,邮件服务器活动和文件传输。这些控件对于实施邮件和数据安全策略非常有用,它们可以让你发现可能是入侵或网络攻击迹象的流量激增。
如果你对使用深度数据包分析进行安全性特别感兴趣,那么你将获得有关DHCP,DNS和ICMP流量的信息。
PRTG仪表板中的数据包传感器页面具有提供可视化图形,可帮助你快速了解流量数据。
Paessler PRTG可以安装在Windows上,并且有一个适用于小型网络的免费版本。这将涵盖网络上的100个传感器。传感器是网络上的监控点,例如端口或可用磁盘空间等条件。
2.ManageEngine OpManager
ManageEngine的OpManager是当今市场上领先的网络监控系统之一。此监控系统使用SNMP方法进行持续的网络监控和设备状态跟踪。OpManager的深度包检测功能为系统增加了流量管理功能。
正如DPI预期的那样,离线执行分析。正在检查的数据包首先写入PCAP文件。这些文件提供分析的源信息。
OpManager的深度数据包分析功能旨在揭示网络性能不佳的原因,而不是检测入侵。分析中出现两个指标:网络响应时间和应用程序响应时间。管理员可以发现哪些应用程序性能不佳,并且可能需要比标准网络功能更多的资源。然后,可以决定是否增加资源以服务于该应用程序,提供更有效的替代方案,或限制该应用程序可用的带宽,以便为更重要的网络服务提供更好的响应时间。
深度数据包分析中出现的数据可以在报告中输出。这些使你能够与决策层讨论是否应该将预算用于扩展基础设施,或者是否应该抑制过度活跃的应用程序。
OpManager可免费监控网络上的十个节点或更少节点。大于此的系统必须使用付费的OpManager。OpManager监控控制台可以安装在Windows和 Linux 操作系统上。
3.nDPI
OpenDPI是深度数据包分析工具的开源项目。一个开源项目允许任何人查看应用程序的源代码。这可以向用户保证,内部没有隐藏的或破坏性的恶意软件程序。Ntop的nDPI基于OpenDPI代码并扩展其功能。nDPI的源代码也可用。
此开源模型为你提供了按原样安装或修改系统以满足业务需求的选项。开源代码的修改非常普遍,许多为此类系统创建增强功能的人员也会将这些新功能提供给社区。在某些情况下,管理源代码的组织会将这些更改接受到核心版本中。Ntop使nDPI与原始OpenDPI分开,因此你有两个开源选项。
nDPI在应用层运行。这意味着它在检查内容之前统一数据包。数据包的标头告诉分析引擎传输使用的协议以及流量来自哪个端口。该信息标识了在网络上发送数据的应用程序与每个使用的端口之间的任何不匹配,而不是应用程序应该用于其遵循的协议的端口。
nDPI系统能够通过查看指定传输加密密钥的SSL安全证书来识别加密数据包。这是一个聪明的洞察力,可以解决加密对深度数据包分析带来的困难。
nDPI软件可以安装在Windows,Linux和MacOS上。DPI模块支持其他Ntop产品,如nProbe和Ntop-NG。nProbe是一个收集NetFlow消息的流量监控系统。NetFlow是思科用于其网络设备产品的信令标准。该系统收取少量费用,可在Linux和Windows上运行。Ntop-NG是一种用于网络的流量分析器。这是一种采用SNMP消息的备用网络监控系统。Ntop-NG适用于Windows,Unix,Linux和Mac OS。它有三个版本,其中一个版本是免费的Community Edition。
4.Netifyd
尽管是一个OpenDPI的分支,nDPI正在成为它自己的标准,并且是许多其他改编的基础。Netifyd就是其中之一。这使得Netifyd适应了OpenDPI的改编。Netifyd是一个开源产品,你可以看到构建程序,编译和使用它的代码。或者,你可以自己调整代码,最后调整适应的OpenDPI。
Netifyd将捕获数据包,但它不包括分析函数来解释数据或采取措施来形成流量或阻塞协议。你需要将Netifyd数据导入到这些功能的另一个应用程序中。
该系统可从Egloo网站的社区页面获得。Egloo的主要产品是Netify网络监控工具,它基于Netifyd但具有更多功能而且不是免费的。此工具为你提供所需的可视化和 排序 功能,以便正确理解深度数据包检查所产生的信息。Netify的入门套餐每个网站每月定价25美元。该版本允许你监控多达25台设备的数据,该服务将存储你的数据两天。更高的包提供更长的历史数据时间范围。
5.AppNeta
AppNeta是一个基于云的网络监控系统。它特别针对运营WAN并将其功能扩展到云中的公司。该软件使用称为TruPath的专有网络流量分析方法,这有点像Traceroute,增加了性能报告。
在TruPath收集信息后,系统会添加通过深度数据包检查收集的流量详细信息。DPI模块用于按应用程序划分流量指标。由于AppNeta针对的是那些对所有公司流量都强烈使用互联网的企业。它可以在异地进行所有数据包检测,减少过多报告程序对网络造成的压力。
DPI模块收集的信息将发送到云数据中心。分析引擎远程托管,而不是任何设备。这使得仪表板和报告可以从任何位置获得,而不仅仅是在总部。此配置的位置中立性使得系统的控制面板可以从Web上的任何位置获得。数据存储在AppNeta服务器上90天,这为你提供了分析趋势和计划容量的充足机会。对应用程序的需求既包括企业访问的云服务,也包括企业向其他人提供的在线服务。
AppNeta侧重于监控应用程序的交付性能。它包括每个应用程序的流量警报。这些流量警告可以充当安全监控,因为流量突然激增可能表明发生了攻击。该实用程序包括用户活动分析,可以方便地跟踪可疑活动并识别受损帐户。但是,AppNeta并未定位为安全工具。
AppNeta通过加密涵盖你的站点与其数据中心之间的所有通信。该软件包不使用数据分析工具,公司建议你使用第三方工具,例如Wireshark。
这个监控系统不是免费的。该服务每个位置的每个应用程序的价格为199美元。你可以申请免费试用该系统,但该公司不会在固定的时间段内提供此服务。
6.NetFort LANGuardian
LANGuardian主要使用深度包检测作为安全工具。该系统隔离了吃资源的应用程序,并检查网络上使用最多带宽的协议流量。
系统的仪表板提供摘要数据,可以从中深入查看可用信息,包括用户活动。LANGuardian软件在Linux上运行。它捆绑了自己的Linux界面,因此它也可以运行虚拟机,包括Microsoft Hyper-V。但是,它不会直接在Windows上运行。如果要在Windows计算机上使用LANGuardian,则必须安装VMWare Player或VirtualBox并通过该界面运行该软件。
LANGuardian系统包括四个要素:
- 收集引擎
- 分析引擎
- 流量数据库
- 报告引擎
与大多数DPI系统一样,你无法分析实时数据。这是数据库派上用场的地方。收集代理收集的信息将插入到数据库中。然后可以通过分析引擎对收集的数据进行分类和操作。这为系统提供了网络流量的应用级视角,使分析仪能够跟踪数据包的流量模式。但是,这些记录可以非常快速地组合并实时添加,因此可以获得网络流量的近实时视图。
该软件必须安装在网络上的一台计算机上,并且该计算机必须直接连接到核心交换机。这使收集代理能够复制通过网络运行的所有流量。该收集器成为主要传感器,并在核心交换机和监控控制台之间创建一对一的关系。显然,这种架构会阻止LANGuardian系统部署在分布式网络上,特别是它不适用于WAN。在这些情况下,LANGuardian部署远程传感器,远程传感器远离组织中的其他主要交换机,以集中数据分析。
该系统不是免费的。但是,可以获得LANGuardian的30天免费试用版。
7.SolarWinds Network Performance Monitor (免费试用)
SolarWinds Network Performance Monitor使用一系列技术来监控和管理网络流量。主要元素使用本地为网络设备固件的SNMP消息传递系统。但是,监控的分析部分使用深度包检测(DPI)作为工具的网络行为可见性服务的一部分。
SolarWinds工具中DPI的目的是满足网络管理员的两个目标。第一种是识别耗尽系统大部分资源的流量类型。网络负载过重会使每个人的工作环境变得困难,因此确切了解所有需求的来源非常重要。DPI提供此数据,一旦识别出资源占用者,网络管理员就可以更轻松地决定如何处理这些数据。
深度数据包分析还提供网络性能监控安全功能。DPI技术将识别导致流量激增并显示不稳定行为的特定用户和应用程序。需求高峰可能是由黑客攻击引起的,但是,它们也可能是由业务需求引起的,例如月末帐户处理。DPI可以让你了解这些激增是否是由合法的业务活动产生的。可以阻止不规则的行为。
用户跟踪可突出显示异常活动。例如,一个用户帐户可能已被盗用,导致该用户访问与其通常活动无关的服务。在短时间内从不同的物理位置登录还可以识别已被泄露的用户帐户。
SolarWinds Network Performance Monitor中使用深度数据包分析表明,这种技术不仅适用于安全专家。SolarWinds确实包括用于入侵检测的深度数据包分析,但它也使用该系统来帮助塑造常规流量并检查使系统过载的应用程序类别。使用DPI支持合法的业务活动为所有网络监控系统指明了前进的方向。DPI的复杂方法现在正成为主流,并将成为未来所有网络流量监控系统的核心部分。
SolarWinds Network Performance Monitor不是免费的。该系统的起价为2955美元。但是,可以免费试用30天。SolarWinds Network Performance Monitor只能安装在Windows Server操作系统上。
选择深度数据包分析工具
深度数据包分析不必由独立工具执行。可以将DPI功能集成到许多业界顶级网络监控系统中。如果有一个小型网络,并且不想让网络管理系统复杂,那么请查看这些大型网络监控的免费版本。如果只是想要一个单独的系统来执行深度数据包分析,并且不希望这些任务干扰常规监控,那么可以在清单中找到你适合的工具。
注意安装深度数据包分析工具,因为它们会提取网络中传输的数据。深度数据包检查可能会损害整个组织交换的数据的隐私。在安装任何网络工具之前,应先咨询企业的法律顾问,以便在跨越网络时捕获数据。通过授予网络管理员工作人员的访问权限,可能会危及数据隐私和访问控制。在某些情况下,公司必须承诺限制对企业资产所持公众成员的个人信息的访问。当遇到网络性能问题时,检查数据包级别流量的能力肯定是有用的。深度数据包分析更进一步,并读取每个数据包的内容。
目前你是否使用深度数据包检测技术来保持网络正常运行?在使用DPI工具时,你是否遇到过数据隐私问题的法律问题?不妨来聊聊!
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 分布式监控系统 WGCLOUD v2.3.6 发布,新增网络监控模块
- 分布式监控系统 WGCLOUD v2.3.6,网络监控模块显示问题修复
- 【监控系统】配合Graphite使用的报警系统
- WGCLOUD 监控系统更新,集成 ES 在线监控工具
- 告警系统主脚本,告警系统配置文件,告警系统监控项目
- WGCLOUD 监控系统更新,进程监控模块 bug 修复
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。