DPI-guide (Deep Packet Inspection) inkludert 7 beste DPI-verktøy

7 Beste verktøy for Deep Packet Analyse


Deep packet-analyse er en nettverksmetodikk som er spesielt nyttig i brannmurer. Bruken av dyp pakkeinspeksjon har økt de siste årene fordi den kan brukes som en del av inntrengingsdeteksjonssystemer (IDS) og innbruddsforebyggende systemer (IPS).

Brannmurer sperrer tradisjonelt for tilgang til et nettverk. Filtre i brannmurer kan også blokkere tilgang til en liste over nettsteder ved å inspisere IP-adressen til destinasjonen i pakkeoverskriften.

Vi går nærmere inn på hvert av verktøyene lenger nede, men i tilfelle du ikke har tid til å lese hele stykket, her er listen over de beste Deep Packet Inspection and Analyse verktøyene:

  1. SolarWinds Network Performance Monitor (GRATIS PRØVE) - Dette nettverksovervåkingsverktøyet inkluderer dyp pakkeinspeksjon for å identifisere kilde- og destinasjonsapplikasjoner og sluttpunkter på nettverkstrafikk.
  2. Paessler-pakkesniffing med PRTG (GRATIS prøve) - PRTG-systemet er et infrastrukturovervåkingsverktøy og det inkluderer en pakkesensor.
  3. OpManager - Dette er en nettverksprestasjonsmonitor som kan fange pakker for offline analyse. Verktøyet kjører på Windows og Linux.
  4. nDPI - Dette verktøyet inspiserer pakker i applikasjonslaget, noe som betyr at du må buffere trafikk for inspeksjon.
  5. Netifyd - En tilpasning av nDPI som fanger opp pakker for inspeksjon av andre tjenester.
  6. AppNeta - Et skybasert nettverksovervåkingssystem som inkluderer offline trafikkanalyse.
  7. NetFort LANGuardian - Et verktøy for nettverkssikkerhetsanalyse som bruker DPI og kjører på Linux.

SPI Vs DPI

Fremskritt på gateways som undersøker IP-overskriften er "statefulBrannmurer. De ansetter Tilstrekkelig pakkeinspeksjon (SPI). Denne metodologien undersøker TCP- eller UDP-overskriftene, som er vedlagt i IP-pakken. Statisk pakkeinspeksjon er også kjent som grunne pakkeinspeksjon. Deep Packet Inspection (DPI) ser på datalasten til pakken.

SPI undersøker individuelle pakker når de behandles av gatewayen, og slipper selektivt utgående forespørsler eller innkommende datapakker som ikke overholder nettverkssikkerhetspolitikken. Den "stateful" delen av navnet refererer til tilkoblingsdata. Brannmuren registrerer overskriftsinformasjon knyttet til TCP-tilkoblingen, som gjør det mulig å følge en strøm av pakker. Den typen stateful overskriftsdata som brannmuren samler inn inkluderer rekkefølgen på pakker.

En tilstrekkelig brannmur lagrer vanligvis denne tilkoblingsinformasjonen i minnet, slik at den kan plukke ut strømmer av relaterte pakker når de passerer gjennom grensesnittet. Tilkoblingsdata blir holdt i en dynamisk tabell. Når en tilkobling er lukket, blir den informasjonen utslettet fra tabellen for å frigjøre minne. Det er mer sannsynlig at den statlige brannmuren blokkerer tilkoblinger mens de pågår. Tilstrekkelig pakkeinspeksjon fokuserer bare på direktedata.

DPI samler pakker som skal undersøkes som en gruppe, så vanlig trafikk fortsetter på vei mens kopier høstes for analyse. Dette er grunnen til at DPI ofte blir referert til som "dyp pakke analyse.”DPI tar lengre tid å produsere handlingsdyktig Intel enn SPI.

Fordeler med dyp pakkeinspeksjon og analyse

Inntrengingsdeteksjonssystemer ser etter "signaturer" i datatrafikk for å identifisere uregelmessig aktivitet. Et triks hackere bruker for å komme seg rundt disse signaturdeteksjonssystemene er å dele opp pakker i mindre segmenter. Dette sprer mønstrene som grunne pakkeanalyser ser etter, så ingen pakke inneholder den signaturen og angrepet slipper gjennom. DPI-analyse setter sammen strømmer av pakker fra samme kilde, slik at angrepsignaturene kan oppdages selv når de er spredt over flere innkommende pakker.

Når DPI-analyse er en del av et innbruddsforebyggende system, genererer og påfører de løpende analyseresultatene handlinger for automatisk å forsvare systemet. Slik handling kan omfatte blokkering av alle pakker som kommer fra en bestemt kilde-IP-adresse eller til og med et utvalg av adresser.

Angrepsdeteksjon

Innsamlingen av pakker gjør det mulig for DPI å identifisere typer angrep som tilstrekkelig analyse ville savne. Eksempler på disse er uregelmessig bruk av standard nettverksverktøy, som for eksempel Kraftskall eller WMI, og rettet volumoverbelastning, som for eksempel bufferoverløpsangrep. Bruken av vanlige systemverktøy i virusinfeksjon eller spyware-operasjoner betyr at et forbud mot applikasjonene som er kjent for å bli brukt av hackere, ikke kan håndheves. Dette er fordi disse systemverktøyene er viktige for levering av applikasjoner og tjenester til legitime brukere. Dermed trinnvis pakkeinspeksjon og analyse trinn for å undersøke bruksmønsterbruken til disse systemtjenestene og selektivt forkaster trafikken som viser mistenkelig oppførsel. Dermed kan ondsinnet aktivitet identifiseres selv om det i utgangspunktet ser ut til å være legitim trafikk.

Forebygging av datalekkasje

Forebygging av datalekkasje er en annen bruk for dyp pakkeanalyse. Dette tar en hvitlisting nærme seg. Selskapet kan sette en policy om at ingen skal få lov til å kopiere data til en minnepinne eller sende e-postvedlegg. Men det er legitime tilfeller der slike handlinger er nødvendige. I dette tilfellet vil DPI bli varslet om å tillate det som ellers ville bli behandlet som en uautorisert aktivitet. Den brukeren skal ikke ha lov til å sende ut noen fil, og så DPI-funksjonen fortsetter å overvåke aktiviteter for å blokkere andre filoverføringer enn det autoriserte vedlegget.

De beste verktøyene for dyp pakkeinspeksjon og analyse

Sofistikerte nettverksovervåkingssystemer inkluderer nå dype pakkeranalyserutiner. Så du kan få dette anlegget som en del av den generelle programvaren for nettverksadministrasjon. Noen programvareleverandører produserer nettverksforsvarsprogramvare som inkluderer dyp pakkeanalyse.

1. SolarWinds Network Performance Monitor (GRATIS PRØVE)

SolarWinds Network Performance Monitor

De SolarWinds Deep Packet Inspection and Analysis with NPM bruker en rekke teknikker for å overvåke og styre nettverkstrafikk. Hovedelementet bruker SNMP meldingssystem som er hjemmehørende i fastvaren til nettverksutstyr. Imidlertid bruker analyseseksjonene på monitoren dyp pakkeinspeksjon (DPI) som en del av verktøyets synlighetstjenester for nettverksadferd.

Formålet med DPI i SolarWinds-verktøyet tilfredsstiller to mål for nettverksadministratorer. Den første er å identifiser hvilke typer trafikk som bruker mest av systemets ressurser. For stor belastning på nettverket gjør arbeidsmiljøet vanskelig for alle, og det er viktig å finne ut nøyaktig hvor alle de kravene stammer fra. DPI gir disse dataene, og når ressurshoggerne er blitt identifisert, er det lettere for nettverksadministratoren å bestemme hva de skal gjøre med dem.

Dyp pakkeinspeksjon gir også Network Performance Monitor sikkerhetsfunksjoner. DPI-teknikker vil identifisere spesifikke brukere og applikasjoner som forårsaker kraftig økning i trafikken og viser uberegnelig oppførsel. Disse toppene som etterspørres, kan være forårsaket av hackerangrep, men de kan også være forårsaket av forretningsmessige krav, som for eksempel behandling av slutten av måneden. DPI lar deg se om disse bølgene genereres av legitime forretningsaktiviteter. Uregelmessig atferd kan blokkeres.

Brukersporing kan fremheve uvanlig aktivitet. For eksempel kan en brukerkonto ha blitt kompromittert, noe som førte den brukeren til å få tilgang til tjenester som ikke knytter seg til hans vanlige aktiviteter. Pålogginger fra forskjellige fysiske steder i løpet av korte perioder kan også identifisere en brukerkonto som er blitt kompromittert.

Anvendelsen av dyp pakkeanalyse av SolarWinds i Network Performance Monitor viser denne teknikken er ikke bare nyttig for sikkerhetsspesialister. SolarWinds inkluderer dyp pakkeanalyse for inntrengingsdeteksjon, men bruker også systemet til å forme regelmessig trafikk og undersøke kategoriene applikasjoner som overbelaster systemet. Bruken av DPI for å støtte legitime forretningsaktiviteter peker veien videre for alle nettverksovervåkingssystemer. De sofistikerte metodene til DPI blir nå mainstream og vil bli en sentral del av alle overvåkningssystemer for nettverkstrafikk i fremtiden.

Network Performance Monitor er ikke gratis. Prisen for dette systemet starter på 2 955 dollar. Imidlertid kan du få en gratis prøveperiode i 30 dager. SolarWinds Network Performance Monitor kan bare installeres på Windows Server operativsystemer.

SolarWinds Network Performance MonitorLast ned 30-dagers GRATIS prøveversjon

2. Paessler-pakkesniffing med PRTG (GRATIS prøve)

Paessler PRTG instrumentpanel

Paessler-pakke som snuser med PRTG er et omfattende nettverksovervåkingsverktøy som inkluderer DPI i sine prosedyrer for innsamling av data. Packet-sniffer av PRTG analyserer spesifikke trafikstyper som skal overvåkes for ressursbruk og uregelmessig aktivitet. Monitoren rapporterer om disse trafikktypene og deres gjennomstrømming inkludert nettrafikk, postserveraktivitet, og filoverføringer. Disse kontrollene kan være svært nyttige for å innføre retningslinjer for e-post og datasikkerhet, og de vil gjøre det mulig å oppdage stigninger i trafikken som kan være tegn på inntrenging eller cyberangrep..

Hvis du er spesielt interessert i å bruke dyp pakkeanalyse for sikkerhet, deretter informasjonen du vil få på DHCP, DNS, og ICMP trafikk skal være spesielt nyttig for deg.

Pakkensensorsiden i PRTG-dashbordet har funksjoner skiver og grafer for å hjelpe deg med å få klarhet i trafikkdata raskt.

Paessler PRTG kan installeres på Windows og det er det en gratis versjon for små nettverk. Dette vil dekke 100 sensorer i nettverket ditt. En sensor er et overvåkingspunkt i et nettverk, for eksempel en port eller en tilstand som ledig diskplass. Du kan laste ned programvaren for en gratis prøveversjon her.

Paessler-pakkesniffing med PRTGDownload 30-dagers GRATIS PRØVE

3. ManageEngine OpManager

OpManager-oversikten

ManageEngines OpManager er en annen av ledende nettverksovervåkingssystemer på markedet i dag. Denne monitoren bruker SNMP-metoder for pågående nettverksovervåking og enhetsstatussporing. De dype pakkeinspeksjonsfunksjonene til OpManager legger til trafikkstyring til systemet.

Som det kan forventes med DPI, analyse utføres offline. Pakkene som undersøkes blir først skrevet til en PCAP-fil. Disse filene gir kildeinformasjon for analysen.

De dype pakkeanalysefunksjonene til OpManager tar sikte på å avdekke årsaker til dårlig nettverksytelse snarere enn å oppdage inntrenging. To beregninger kommer frem fra analysen: nettverkets svartider og søknad responstid. Administratoren kan se hvilke applikasjoner som fungerer dårlig og kan kreve mer ressurser enn standard nettverksfunksjoner. Du kan deretter bestemme om du vil øke ressursene for å tjene sultne applikasjoner, undersøke mer effektive alternativer eller begrense båndbredden som er tilgjengelig for den applikasjonen for å gi viktigere nettverkstjenester bedre responstid.

Dataene som kommer frem fra den dype pakkeanalyseøvelsen, kan sendes ut i rapporter. Disse gjør det mulig for deg lede diskusjoner med interessenter på om budsjettet skal brukes på å utvide infrastrukturen eller om overaktive applikasjoner skal dempes eller skrinlegges.

OpManager er tilgjengelig gratis for å overvåke ti noder eller mindre i et nettverk. Systemer som er større enn det, må bruke den betalte OpManager. OpManager-overvåkningskonsollen kan installeres på Windows og Linux operativsystemer.

4. nDPI

-nDPI-nettsted

OpenDPI er et åpen kildekode-prosjekt med dype pakkeanalyseværktøy. Et åpen kildekode-prosjekt lar alle se kildekoden til et program. Det forsikrer brukerne om at det ikke er noen skjulte triks eller skade skadelige prosedyrer begravet inne. nDPI fra Ntop er basert på OpenDPI-koden og utvider funksjonaliteten. Kildekoden for nDPI er også tilgjengelig.

Denne åpen kildekodemodellen gir deg muligheten til å installere den som den er eller endre systemet slik at den passer til virksomhetens behov. Endring av åpen kildekode er veldig vanlig og mange mennesker som lager forbedringer for slike systemer, gjør også de nye funksjonene tilgjengelige for samfunnet. I noen tilfeller godtar organisasjonen som administrerer kildekoden disse endringene i kjerneversjonen. Ntop holder nDPI atskilt fra den opprinnelige OpenDPI, så du har to open source-alternativer.

nDPI opererer på Applikasjonslag. Det betyr at den forener pakker før du undersøker innholdet. Overskriftene på pakkene forteller analysemotoren hvilken protokoll overføringen bruker og hvilken port trafikken kom fra og gikk til. Denne informasjonen identifiserer eventuelt misforhold mellom applikasjoner som sender data på nettverkene og portene som hver bruker, i motsetning til portene som applikasjonen skal bruke for protokollen som den følger.

NDPI-systemet er i stand til å identifisere krypterte pakker ved å se på SSL-sikkerhetssertifikatet som spesifiserte krypteringsnøkkelen for overføringen. Dette er en smart innsikt og kommer rundt vanskene som kryptering gir for dyp pakkeanalyse.

NDPI-programvaren kan installeres på Windows, Linux, og Mac os. DPI-modulen støtter andre Ntop-produkter som nProbe og Ntop-NG. nProbe er et trafikkovervåkingssystem som samler inn NetFlow meldinger. NetFlow er en signalstandard som brukes av Cisco Systems for sine nettverksutstyrsprodukter. Dette systemet er tilgjengelig for en liten avgift og den kjører videre Linux og Windows. Ntop-NG er en trafikkanalysator for nettverk. Dette er et alternativt nettverksovervåkingssystem som bruker SNMP meldinger. Ntop-NG er tilgjengelig for Windows, Unix, Linux, og Mac os. Den er tilgjengelig i tre versjoner, hvorav den ene, Community Edition, er gratis.

5. Netifyd

Aktiver skjermbilde

Til tross for at jeg er en gaffel av OpenDPI, nDPI blir en helt egen standard og er grunnlaget for en rekke andre tilpasninger. Netifyd er en av disse. Dette gjør Netifyd og tilpasning av en tilpasning av OpenDPI. Som forfedrene, Netifyd er et open source-produkt og du kan se koden som utgjør programmet, kompilere det og bruke det. Alternativt kan du tilpasse koden selv og ende opp med en tilpasning av en tilpasning av en tilpasning av OpenDPI.

Netifyd vil fange pakker, men den inkluderer ikke analysefunksjoner å tolke data eller iverksette tiltak for å forme trafikk eller blokkere protokoller. Du må importere Netifyd-dataene til en annen applikasjon for disse funksjonene.

Dette systemet er tilgjengelig fra fellessidene til Egloo nettside. Hovedproduktet til Egloo er Netify nettverksmonitor som er basert på Netifyd, men har mange flere funksjoner og er ikke gratis. Dette verktøyet gir deg visualiserings- og sorteringsfunksjonene som trengs for å forstå informasjonen som oppstår ved dyp pakkeinspeksjon riktig. Startpakken til Netify er priset til $ 25 per nettsted per måned. Den utgaven lar deg overvåke data fra opptil 25 enheter og tjenesten vil lagre dataene dine i to dager. Høyere pakker gir deg en lengre tidshorisont for historiske data.

6. AppNeta

Appneta-skjermbilde

AppNeta er et skybasert nettverksovervåkingssystem. Det er spesielt rettet mot selskaper som driver WAN-er og utvider mulighetene sine til skyen. Programvaren bruker en proprietær metodikk for nettverkstrafikkanalyse kalt TruPath, som er litt som Traceroute med ekstra resultatrapportering.

Etter at TruPath har samlet inn informasjon, legger systemet til trafikkdetaljer samlet gjennom dyp pakkeinspeksjon. DPI-modulen arbeider for å segmentere trafikkmålinger etter applikasjon. Ettersom AppNeta er rettet mot virksomheter som bruker internett intenst for all selskapstrafikk. Det leder alle pakkeinspeksjon utenfor stedet, redusere belastningen som overdreven rapporteringsprosedyre kan sette på nettverk.

Informasjon som DPI-modulen samler er sendt til skydatasenteret. Analysemotoren vert eksternt vert og ikkje på noko av utstyret ditt. Dette gjør at dashbord og rapporter tilgjengelig fra alle steder, ikke bare i hovedkontoret ditt. Plasseringsnøytraliteten til denne konfigurasjonen gjør kontrollpanelet for systemet tilgjengelig hvor som helst over nettet. Data lagres på AppNeta-serverne i 90 dager, som gir deg god mulighet til å analysere trender og planlegge kapasitet. Etterspørsel etter apper dekker både skytjenestene som firmaet har tilgang til, så vel som online tjenester som bedriften gir andre.

AppNeta-presentasjonen fokuserer på overvåke leveringsytelsen for applikasjoner. Den inkluderer varsler om trafikkmengder per applikasjon. Disse trafikkadvarslene kan fungere som en sikkerhetsovervåker fordi plutselig kraftig økning i trafikken kan indikere et angrep. Verktøyet inkluderer brukeraktivitetsanalyse, som vil være nyttig for å spore mistenkelig aktivitet og identifisere kompromitterte kontoer. AppNeta er imidlertid ikke posisjonert som et sikkerhetsverktøy.

AppNeta dekker all kommunikasjon mellom nettstedene dine og dets datasenter med kryptering.  Pakken bruker ikke verktøy for dataanalyse, og du blir anbefalt av selskapet å bruke et tredjepartsverktøy, for eksempel Wireshark.

Dette overvåkingssystemet er ikke gratis. Tjenesten er priset til $ 199 per søknad per sted. Du kan be om det en gratis prøveperiode av systemet, men selskapet tilbyr ikke dette for en fast tidsperiode. Du kan forhandle om en prøveperiode med en salgsrepresentant på forespørsel.

7. NetFort LANGuardian

LANGuardisk skjermbilde

LANGuardian bruker dyp pakkeinspeksjon først og fremst som et sikkerhetsverktøy. Systemet isolerer ressursgrådige apper og undersøker protokolltrafikken i nettverket ditt som bruker mest båndbredde.

Dashbordet for systemet tilbyr sammendragsdata som du kan bore ned for å utvinne tilgjengelig informasjon helt til brukeraktivitet. LANGuardian-programvaren kjører på Linux. Den leveres sammen med sitt eget Linux-grensesnitt, slik kan det også være kjør av virtuelle maskiner inkludert Microsoft Hyper-V. Imidlertid kjører den ikke direkte på Windows. Hvis du vil bruke LANGuardian på en Windows-datamaskin, vil du ha installert VMWare Player eller VirtualBox og kjøre programvaren gjennom det grensesnittet.

Det LANGuardiske systemet inkluderer fire elementer:

  • En innsamlingsmotor
  • En analysemotor
  • En trafikkdatabase
  • En rapporteringsmotor

Som de fleste DPI-systemer, du kan ikke analysere direktedata. Det er her databasen kommer godt med. Informasjonen som samles inn av innsamlingsagenten settes inn i en database. Innsamlede data kan deretter sorteres og manipuleres av den analytiske motoren. Dette gir systemet et perspektiv på applikasjonsnivå på nettverkstrafikk og lar analysatoren spore trafikkmønstre på tvers av pakker. Imidlertid kan disse postene settes sammen veldig raskt og legges til i sanntid, så det er mulig å få nær live-visninger av nettverkstrafikken din.

Programvaren må installeres på en datamaskin i nettverket ditt, og den datamaskinen må ha en direkte forbindelse til kjernebryteren. Dette gir innsamlingsagenten makten til å kopiere all trafikken som går over nettverket ditt. Den samleren blir den primære sensoren og skaper et en-til-en-forhold mellom kjernebryteren og overvåkningskonsollen. Denne arkitekturen vil åpenbart forhindre at det LANGuardian-systemet ble distribuert i distribuerte nettverk, og det fungerer spesielt ikke med WAN-er. I disse scenariene, LANGuardian bruker fjernkontrollsensorer at fjernkontrollen fra de andre hovedbryterne i organisasjonen din for å sentralisere dataanalyse.

Systemet er ikke gratis. Du kan imidlertid få en 30-dagers gratis prøveperiode av LANGuardian.

Hvordan velge DPI og analyseprogramvare

Dyp pakkeinspeksjon og analyse trenger ikke å utføres av et frittstående verktøy. Du kan få DPI-funksjonalitet integrert i mange av bransjens viktigste nettverksovervåkingssystemer. Hvis du har et lite nettverk og ikke ønsker å utslette for nettverksadministrasjonssystemer, da se på gratisversjonene av de store navnet nettverksmonitorene. Hvis du bare vil at et eget system skal utføre dyp pakkeanalyse og ikke vil at oppgavene forstyrrer din vanlige overvåking, vil du finne noen veldig egnede verktøy på listen vår.

Vær forsiktig med å installere dype pakkeanalyseværktøy fordi de trekker ut dataene som fraktes over nettverket ditt. Dyp pakkeinspeksjon kan svekke personvernet til dataene som utveksles i hele organisasjonen. Du burde ta kontakt med bedriftens juridiske rådgiver først før du installerer et nettverksverktøy som lar deg fange data når det krysser nettverket. Datasikkerhet og tilgangskontroll kan bli kompromittert ved å gi tilgang til nettverksadministratorpersonalet. I noen tilfeller må selskapet pantsette for å begrense tilgangen til den personlige informasjonen til publikum som holdes på virksomhetens eiendeler. Så, sørg for at du ikke får brudd på disse forpliktelsene ved å installere DPI-verktøy.

Muligheten til å sjekke trafikk på pakkenivå er absolutt nyttig når du støter på ytelser i nettverket. Dyp pakkeanalyse går et skritt videre og leser innholdet i hver pakke. Du må forsikre deg selv og styret ditt om at du virkelig trenger det nivået av informasjon for å beskytte nettverket før du installerer DPI-systemer.

Bruker du for øyeblikket dype pakkeinspeksjonsteknikker for å holde nettverket i gang? Har du fått juridiske problemer i forbindelse med datasikkerhet mens du bruker DPI-verktøy? La samfunnet lære av erfaringene dine ved å legge igjen en melding i kommentarfeltet nedenfor.

Bilde: Raspberry Pi Model B i PiHouse-saken - operativ av Tim Walker via Flickr. Lisensiert under CC BY-SA 2.0 (endret: tilleggstekst lagt til)

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

7 + 3 =