نیٹ ورک پیکٹ بروکر کی درخواست کی شناخت DPI کی بنیاد پر - گہری پیکٹ معائنہ

گہرا پیکٹ معائنہ (ڈی پی آئی)نیٹ ورک پیکٹ بروکرز (NPBs) میں استعمال ہونے والی ٹیکنالوجی ہے جو نیٹ ورک پیکٹ کے مواد کو دانے دار سطح پر معائنہ اور تجزیہ کرنے کے لیے استعمال ہوتی ہے۔ اس میں نیٹ ورک ٹریفک کے بارے میں تفصیلی بصیرت حاصل کرنے کے لیے پیکٹ کے اندر پے لوڈ، ہیڈرز، اور دیگر پروٹوکول سے متعلق معلومات کی جانچ کرنا شامل ہے۔

DPI سادہ ہیڈر تجزیہ سے آگے بڑھتا ہے اور نیٹ ورک کے ذریعے بہنے والے ڈیٹا کی گہری سمجھ فراہم کرتا ہے۔ یہ ایپلیکیشن لیئر پروٹوکولز، جیسے HTTP، FTP، SMTP، VoIP، یا ویڈیو اسٹریمنگ پروٹوکول کے گہرائی سے معائنہ کرنے کی اجازت دیتا ہے۔ پیکٹوں کے اندر اصل مواد کی جانچ کرکے، ڈی پی آئی مخصوص ایپلی کیشنز، پروٹوکول، یا یہاں تک کہ مخصوص ڈیٹا پیٹرن کا پتہ لگاسکتا ہے اور اس کی شناخت کرسکتا ہے۔

سورس ایڈریسز، ڈیسٹینیشن ایڈریسز، سورس پورٹس، ڈیسٹینیشن پورٹس، اور پروٹوکول کی اقسام کے درجہ بندی کے تجزیے کے علاوہ، ڈی پی آئی مختلف ایپلی کیشنز اور ان کے مواد کی شناخت کے لیے ایپلیکیشن لیئر کا تجزیہ بھی شامل کرتا ہے۔ جب 1P پیکٹ، TCP یا UDP ڈیٹا ڈی پی آئی ٹیکنالوجی پر مبنی بینڈوتھ مینجمنٹ سسٹم کے ذریعے بہہ جاتا ہے، تو سسٹم 1P پیکٹ لوڈ کے مواد کو پڑھتا ہے تاکہ OSI لیئر 7 پروٹوکول میں ایپلیکیشن لیئر کی معلومات کو دوبارہ ترتیب دیا جا سکے۔ پورا ایپلیکیشن پروگرام، اور پھر نظام کی طرف سے بیان کردہ انتظامی پالیسی کے مطابق ٹریفک کو تشکیل دینا۔

DPI کیسے کام کرتا ہے؟

روایتی فائر والز میں اکثر ٹریفک کی بڑی مقدار پر مکمل ریئل ٹائم چیک کرنے کے لیے پروسیسنگ پاور کی کمی ہوتی ہے۔ جیسے جیسے ٹیکنالوجی ترقی کرتی ہے، ڈی پی آئی کو ہیڈرز اور ڈیٹا کو چیک کرنے کے لیے مزید پیچیدہ چیک کرنے کے لیے استعمال کیا جا سکتا ہے۔ عام طور پر، مداخلت کا پتہ لگانے کے نظام کے ساتھ فائر وال اکثر DPI استعمال کرتے ہیں۔ ایک ایسی دنیا میں جہاں ڈیجیٹل معلومات سب سے اہم ہے، ڈیجیٹل معلومات کا ہر ٹکڑا چھوٹے پیکٹوں میں انٹرنیٹ پر پہنچایا جاتا ہے۔ اس میں ای میل، ایپ کے ذریعے بھیجے گئے پیغامات، ملاحظہ کی گئی ویب سائٹس، ویڈیو گفتگو، اور بہت کچھ شامل ہے۔ اصل ڈیٹا کے علاوہ، ان پیکٹوں میں میٹا ڈیٹا شامل ہوتا ہے جو ٹریفک کے منبع، مواد، منزل اور دیگر اہم معلومات کی شناخت کرتا ہے۔ پیکٹ فلٹرنگ ٹیکنالوجی کے ساتھ، ڈیٹا کی مسلسل نگرانی اور انتظام کیا جا سکتا ہے تاکہ یہ یقینی بنایا جا سکے کہ اسے صحیح جگہ پر بھیج دیا گیا ہے۔ لیکن نیٹ ورک کی حفاظت کو یقینی بنانے کے لیے، روایتی پیکٹ فلٹرنگ کافی نہیں ہے۔ نیٹ ورک مینجمنٹ میں گہرے پیکٹ کے معائنہ کے کچھ اہم طریقے ذیل میں درج ہیں:

میچنگ موڈ/دستخط

ہر پیکٹ کو انٹروژن ڈیٹیکشن سسٹم (IDS) کی صلاحیتوں کے ساتھ فائر وال کے ذریعے معلوم نیٹ ورک حملوں کے ڈیٹا بیس کے خلاف میچ کے لیے چیک کیا جاتا ہے۔ IDS معلوم بدنیتی پر مبنی مخصوص نمونوں کو تلاش کرتا ہے اور نقصان دہ نمونے ملنے پر ٹریفک کو غیر فعال کر دیتا ہے۔ دستخط کی مماثلت کی پالیسی کا نقصان یہ ہے کہ یہ صرف ان دستخطوں پر لاگو ہوتا ہے جو اکثر اپ ڈیٹ ہوتے ہیں۔ اس کے علاوہ، یہ ٹیکنالوجی صرف معلوم خطرات یا حملوں سے دفاع کر سکتی ہے۔

ڈی پی آئی

پروٹوکول استثناء

چونکہ پروٹوکول استثنیٰ تکنیک صرف تمام ڈیٹا کی اجازت نہیں دیتی ہے جو دستخطی ڈیٹا بیس سے مماثل نہیں ہے، اس لیے IDS فائر وال کے ذریعے استعمال ہونے والی پروٹوکول استثنیٰ تکنیک میں پیٹرن/دستخط کے ملاپ کے طریقہ کار کی موروثی خامیاں نہیں ہیں۔ اس کے بجائے، یہ پہلے سے طے شدہ مسترد کرنے کی پالیسی اپناتا ہے۔ پروٹوکول کی تعریف کے مطابق، فائر والز فیصلہ کرتے ہیں کہ کس ٹریفک کی اجازت ہونی چاہیے اور نیٹ ورک کو نامعلوم خطرات سے بچانا چاہیے۔

مداخلت کی روک تھام کا نظام (IPS)

IPS سلوشنز اپنے مواد کی بنیاد پر نقصان دہ پیکٹوں کی ترسیل کو روک سکتے ہیں، اس طرح حقیقی وقت میں مشتبہ حملوں کو روک سکتے ہیں۔ اس کا مطلب یہ ہے کہ اگر کوئی پیکٹ معلوم سیکورٹی رسک کی نمائندگی کرتا ہے، تو IPS اصولوں کے متعین سیٹ کی بنیاد پر نیٹ ورک ٹریفک کو فعال طور پر روک دے گا۔ IPS کا ایک نقصان یہ ہے کہ سائبر تھریٹ ڈیٹا بیس کو باقاعدگی سے اپ ڈیٹ کرنے کی ضرورت ہے جس میں نئے خطرات کے بارے میں تفصیلات اور جھوٹے مثبت ہونے کے امکانات ہیں۔ لیکن اس خطرے کو قدامت پسند پالیسیاں اور اپنی مرضی کے مطابق حدیں بنا کر، نیٹ ورک کے اجزاء کے لیے مناسب بنیادی رویہ قائم کر کے، اور نگرانی اور انتباہ کو بڑھانے کے لیے وقتاً فوقتاً انتباہات اور رپورٹ شدہ واقعات کا جائزہ لے کر کم کیا جا سکتا ہے۔

1- نیٹ ورک پیکٹ بروکر میں ڈی پی آئی (ڈیپ پیکٹ انسپیکشن)

"گہری" سطح اور عام پیکٹ تجزیہ کا موازنہ ہے، "عام پیکٹ معائنہ" صرف IP پیکٹ 4 پرت کا مندرجہ ذیل تجزیہ، بشمول سورس ایڈریس، منزل کا پتہ، سورس پورٹ، منزل کی بندرگاہ اور پروٹوکول کی قسم، اور DPI سوائے درجہ بندی کے۔ تجزیہ، ایپلی کیشن پرت کے تجزیہ میں بھی اضافہ ہوا، مختلف ایپلی کیشنز اور مواد کی شناخت کریں، اہم کاموں کا احساس کرنے کے لیے:

1) درخواست کا تجزیہ -- نیٹ ورک ٹریفک کی ساخت کا تجزیہ، کارکردگی کا تجزیہ، اور بہاؤ کا تجزیہ

2) صارف کا تجزیہ -- صارف گروپ کی تفریق، رویے کا تجزیہ، ٹرمینل تجزیہ، رجحان کا تجزیہ، وغیرہ۔

3) نیٹ ورک عنصری تجزیہ -- علاقائی صفات (شہر، ضلع، گلی وغیرہ) اور بیس اسٹیشن لوڈ پر مبنی تجزیہ

4) ٹریفک کنٹرول -- P2P رفتار کو محدود کرنا، QoS یقین دہانی، بینڈوتھ کی یقین دہانی، نیٹ ورک ریسورس آپٹیمائزیشن، وغیرہ۔

5) سیکورٹی کی یقین دہانی -- DDoS حملے، ڈیٹا براڈکاسٹ طوفان، نقصان دہ وائرس کے حملوں کی روک تھام، وغیرہ۔

2- نیٹ ورک ایپلی کیشنز کی عمومی درجہ بندی

آج انٹرنیٹ پر بے شمار ایپلی کیشنز موجود ہیں، لیکن عام ویب ایپلیکیشنز مکمل ہو سکتی ہیں۔

جہاں تک میں جانتا ہوں، بہترین ایپ ریکگنیشن کمپنی Huawei ہے، جو 4000 ایپس کو پہچاننے کا دعویٰ کرتی ہے۔ پروٹوکول تجزیہ بہت سی فائر وال کمپنیوں (Huawei, ZTE، وغیرہ) کا بنیادی ماڈیول ہے، اور یہ ایک بہت اہم ماڈیول بھی ہے، جو دوسرے فنکشنل ماڈیولز، درست ایپلیکیشن کی شناخت، اور مصنوعات کی کارکردگی اور قابل اعتماد کو بہت بہتر بنانے میں معاون ہے۔ نیٹ ورک ٹریفک کی خصوصیات پر مبنی میلویئر شناخت کی ماڈلنگ میں، جیسا کہ میں ابھی کر رہا ہوں، درست اور وسیع پروٹوکول کی شناخت بھی بہت اہم ہے۔ کمپنی کے برآمدی ٹریفک سے عام ایپلی کیشنز کے نیٹ ورک ٹریفک کو چھوڑ کر، بقیہ ٹریفک کا تھوڑا سا حصہ ہوگا، جو میلویئر کے تجزیہ اور الارم کے لیے بہتر ہے۔

میرے تجربے کی بنیاد پر، موجودہ عام استعمال شدہ ایپلی کیشنز کو ان کے افعال کے مطابق درجہ بندی کیا گیا ہے:

PS: درخواست کی درجہ بندی کے بارے میں ذاتی سمجھ کے مطابق، آپ کے پاس کوئی اچھی تجاویز ہیں تو پیغام کی تجویز چھوڑنے کا خیرمقدم ہے۔

1)۔ ای میل

2)۔ ویڈیو

3)۔ گیمز

4)۔ آفس OA کلاس

5)۔ سافٹ ویئر اپ ڈیٹ

6)۔ مالیاتی (بینک، Alipay)

7)۔ اسٹاکس

8)۔ سوشل کمیونیکیشن (IM سافٹ ویئر)

9)۔ ویب براؤزنگ (شاید بہتر طور پر یو آر ایل کے ساتھ پہچانا جاتا ہے)

10)۔ ڈاؤن لوڈ ٹولز (ویب ڈسک، P2P ڈاؤن لوڈ، BT سے متعلق)

20191210153150_32811

پھر، NPB میں ڈی پی آئی (ڈیپ پیکٹ انسپیکشن) کیسے کام کرتا ہے:

1)۔ پیکٹ کیپچر: NPB نیٹ ورک ٹریفک کو مختلف ذرائع سے حاصل کرتا ہے، جیسے سوئچز، روٹرز، یا ٹیپس۔ یہ نیٹ ورک کے ذریعے بہتے ہوئے پیکٹ وصول کرتا ہے۔

2)۔ پیکٹ پارسنگ: پکڑے گئے پیکٹوں کو NPB نے مختلف پروٹوکول لیئرز اور متعلقہ ڈیٹا نکالنے کے لیے پارس کیا ہے۔ تجزیہ کرنے کا یہ عمل پیکٹ کے اندر موجود مختلف اجزاء کی شناخت میں مدد کرتا ہے، جیسے ایتھرنیٹ ہیڈر، آئی پی ہیڈرز، ٹرانسپورٹ لیئر ہیڈرز (مثلاً، TCP یا UDP)، اور ایپلیکیشن لیئر پروٹوکول۔

3)۔ پے لوڈ تجزیہ: DPI کے ساتھ، NPB ہیڈر معائنہ سے آگے بڑھتا ہے اور پے لوڈ پر توجہ مرکوز کرتا ہے، بشمول پیکٹ کے اندر موجود اصل ڈیٹا۔ متعلقہ معلومات کو نکالنے کے لیے یہ پے لوڈ مواد کی گہرائی سے جانچ کرتا ہے، قطع نظر اس کے کہ استعمال شدہ ایپلیکیشن یا پروٹوکول کچھ بھی ہو۔

4)۔ پروٹوکول کی شناخت: DPI NPB کو نیٹ ورک ٹریفک میں استعمال ہونے والے مخصوص پروٹوکولز اور ایپلیکیشنز کی شناخت کرنے کے قابل بناتا ہے۔ یہ HTTP، FTP، SMTP، DNS، VoIP، یا ویڈیو سٹریمنگ پروٹوکول جیسے پروٹوکول کا پتہ لگا سکتا ہے اور ان کی درجہ بندی کر سکتا ہے۔

5)۔ مواد کا معائنہ: DPI NPB کو مخصوص نمونوں، دستخطوں، یا مطلوبہ الفاظ کے لیے پیکٹ کے مواد کا معائنہ کرنے کی اجازت دیتا ہے۔ یہ نیٹ ورک کے خطرات کا پتہ لگانے کے قابل بناتا ہے، جیسے میلویئر، وائرس، دخل اندازی کی کوششیں، یا مشتبہ سرگرمیاں۔ DPI کو مواد کی فلٹرنگ، نیٹ ورک کی پالیسیوں کو نافذ کرنے، یا ڈیٹا کی تعمیل کی خلاف ورزیوں کی نشاندہی کرنے کے لیے بھی استعمال کیا جا سکتا ہے۔

6)۔ میٹا ڈیٹا نکالنا: DPI کے دوران، NPB پیکٹوں سے متعلقہ میٹا ڈیٹا نکالتا ہے۔ اس میں ماخذ اور منزل کے IP پتے، پورٹ نمبر، سیشن کی تفصیلات، لین دین کا ڈیٹا، یا کوئی اور متعلقہ صفات جیسی معلومات شامل ہو سکتی ہیں۔

7)۔ ٹریفک روٹنگ یا فلٹرنگ: DPI تجزیہ کی بنیاد پر، NPB مزید پروسیسنگ کے لیے مخصوص پیکٹوں کو مخصوص جگہوں تک لے جا سکتا ہے، جیسے کہ حفاظتی آلات، نگرانی کے اوزار، یا تجزیاتی پلیٹ فارم۔ یہ شناخت شدہ مواد یا نمونوں کی بنیاد پر پیکٹوں کو ضائع کرنے یا ری ڈائریکٹ کرنے کے لیے فلٹرنگ کے قوانین کا اطلاق بھی کر سکتا ہے۔

ML-NPB-5660 3d


پوسٹ ٹائم: جون-25-2023