i. Πηγή και προορισμός:
* Διεύθυνση IP προέλευσης: Η διεύθυνση IP της συσκευής αποστολής. Μπορεί να είναι ένα μόνο IP, μια σειρά IPS (χρησιμοποιώντας CIDR συμβολισμό) ή μια μπαλαντέρ.
* Διεύθυνση IP προορισμού: Τη διεύθυνση IP της συσκευής λήψης. Οι ίδιες επιλογές με την πηγή IP.
* Θύρα προέλευσης: Ο αριθμός θύρας που χρησιμοποιείται από την εφαρμογή αποστολής. (π.χ., 80 για HTTP, 443 για HTTPS, 22 για SSH).
* θύρα προορισμού: Ο αριθμός θύρας που χρησιμοποιείται από την αίτηση λήψης.
* Διεύθυνση MAC προέλευσης: Η φυσική διεύθυνση της συσκευής αποστολής (Layer 2).
* Διεύθυνση MAC προορισμού: Η φυσική διεύθυνση της συσκευής λήψης (Layer 2).
ii. Πρωτόκολλο:
* Πρωτόκολλο IP: Προσδιορίζει το πρωτόκολλο στρώματος δικτύου (π.χ. TCP, UDP, ICMP).
* Πρωτόκολλο μεταφοράς: Καθορίζει το πρωτόκολλο στρώματος μεταφοράς (TCP ή UDP, που υπονοείται από το πρωτόκολλο IP στις περισσότερες περιπτώσεις).
iii. Περιεχόμενο πακέτων (Deep Packet Inspection - DPI):
* Ειδικές ακολουθίες byte: Η εξέταση των δεδομένων ακατέργαστων πακέτων για συγκεκριμένα πρότυπα byte (απαιτεί περισσότερη ισχύ επεξεργασίας).
* Λέξεις -κλειδιά στο ωφέλιμο φορτίο: Αναζήτηση συγκεκριμένων λέξεων ή φράσεων εντός των δεδομένων εφαρμογής (π.χ. φιλτράρισμα ηλεκτρονικού ταχυδρομείου που περιέχει ορισμένες λέξεις). Συχνά χρησιμοποιείται σε συνδυασμό με φιλτράρισμα πρωτοκόλλου (π.χ., επιθεωρήστε μόνο τα πακέτα HTTP).
* Τακτικές εκφράσεις: Πιο πολύπλοκη αντιστοίχιση προτύπων μέσα στο ωφέλιμο φορτίο.
iv. Χαρακτηριστικά πακέτων:
* Μέγεθος πακέτου: Ελάχιστο ή μέγιστο μέγεθος του πακέτου (σε bytes).
* ώρα της ημέρας: Φιλτράρισμα της κυκλοφορίας με βάση συγκεκριμένους χρόνους ή χρονοδιαγράμματα.
* Σημαίες πακέτων (TCP): Εξετάζοντας τις σημαίες TCP (SYN, ACK, FIN, RST κ.λπ.) για τον εντοπισμό φάσεων σύνδεσης ή μη φυσιολογική συμπεριφορά.
* TTL (Ώρα για να ζήσετε): Ο αριθμός του λυκίσκου που ένα πακέτο μπορεί να ταξιδέψει πριν απορριφθεί. Μπορεί να χρησιμοποιηθεί για τον εντοπισμό πιθανών επιθέσεων.
* TOS/Diffserv (τύπος υπηρεσιών/διαφοροποιημένων υπηρεσιών): Σημειώσεις ποιότητας υπηρεσίας (QOS) στην κεφαλίδα IP.
v. Πληροφορίες επιπέδου εφαρμογής (προχωρημένο DPI):
* Τύπος εφαρμογής: Προσδιορισμός της εφαρμογής με βάση τον αριθμό θύρας και την ανάλυση ωφέλιμου φορτίου (π.χ. HTTP, FTP, SMTP, DNS).
* url: Εξαγωγή και φιλτράρισμα με βάση τη διεύθυνση URL εντός των πακέτων HTTP.
Συνθήκες συνδυασμού:
Η δύναμη του φιλτραρίσματος πακέτων προέρχεται από το συνδυασμό αυτών των συνθηκών. Για παράδειγμα, μπορείτε να δημιουργήσετε έναν κανόνα που να επιτρέπει σε όλη την κυκλοφορία TCP από μια συγκεκριμένη διεύθυνση IP στη θύρα 443 σε έναν διακομιστή ιστού, ενώ εμποδίζει όλη την επισκεψιμότητα UDP από την ίδια διεύθυνση IP σε οποιαδήποτε θύρα. Αυτό επιτρέπει την ασφαλή πρόσβαση HTTPS, ενώ εμποδίζει άλλες δυνητικά κακόβουλες επικοινωνίες UDP.
Σημείωση: Το επίπεδο λεπτομέρειας που είναι διαθέσιμο για φιλτράρισμα εξαρτάται από τη χρήση του τείχους προστασίας ή της συσκευής δικτύου. Οι απλούστερες συσκευές ενδέχεται να υποστηρίζουν μόνο το φιλτράρισμα βασικών πηγών/προορισμού IP, θύρας και πρωτοκόλλου, ενώ οι πιο εξελιγμένες συσκευές προσφέρουν προηγμένες δυνατότητες DPI.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα