Si i mbajnë ISP-të abonentët me BRAS dhe DPI. Cilat janë sistemet e analizës dhe filtrimit të paketave DPI?

Inspektim i thellë i paketës(shkurt. DPI, gjithashtu inspektimi i plotë i paketës dhe Nxjerrja e informacionit ose IX, rus. Inspektimi i thellë i paketave) është një teknologji për grumbullimin e të dhënave statistikore, kontrollimin dhe filtrimin e paketave të rrjetit sipas përmbajtjes së tyre. Ndryshe nga muret e zjarrit, Deep Packet Inspection analizon jo vetëm titujt e paketave, por edhe përmbajtjen e plotë të trafikut në të gjitha nivelet e modelit OSI, duke filluar nga i dyti e më lart. Përdorimi i Deep Packet Inspection ju lejon të zbuloni dhe bllokoni viruset, të filtroni informacione që nuk plotësojnë kriteret e specifikuara.

Përmbajtja

Hyrja / Paraqitja e problemit të sigurisë së informacionit

Sistemi DPI kryen inspektim - analizë të thellë të paketave në shtresat e sipërme të modelit OSI, jo vetëm në numrat standardë të portave të rrjetit. Përveç studimit të paketave sipas modeleve të caktuara standarde, me anë të të cilave mund të përcaktoni në mënyrë unike përkatësinë e një pakete në një aplikacion të caktuar: nga formati i titujve, numrave të portave etj., sistemi DPI gjithashtu kryen të ashtuquajturat analiza e trafikut të sjelljes, e cila ju lejon të njihni aplikacionet që nuk përdorin tituj të njohur më parë për shkëmbimin e të dhënave dhe strukturat e të dhënave si BitTorrent.

Problemi kryesor i të gjitha zgjidhjeve ekzistuese DPI është se për të përcaktuar në mënyrë të qartë nëse një rrjedhë e caktuar e të dhënave i përket njërit prej aplikacioneve të rrjetit, një pajisje që kryen analizën e trafikut duhet të përpunojë të dy drejtimet e seancës: trafiku hyrës dhe ai dalës brenda një rryme duhet të shkojë. përmes së njëjtës pajisje. Nëse pajisja pranon që përpunon vetëm një drejtim brenda seancës, ajo nuk është në gjendje ta lidh këtë rrjedhë me ndonjë kategori të njohur trafiku. Në të njëjtën kohë, prania e një vëllimi të madh trafiku asimetrik është një skenar i zakonshëm për operatorët e mëdhenj. Prodhues të ndryshëm ofrojnë zgjidhje të ndryshme për këtë problem.

Një problem tjetër që po bëhet gjithnjë e më i përhapur është përdorimi i gjerë i mjeteve të enkriptimit të trafikut në rrjet dhe përdorimi i TLS/SSL si pjesë e protokollit HTTPS, i cili nuk lejon përdorimin e mjeteve klasike të analizës së thellë për to.

Sistemet DPI mund të implementohen si në softuer (Tstat, OpenDPI, Hippie, L7-filter, SPID) ashtu edhe në harduer (produkte të Allot Communications, Procera Networks, Cisco, Sandvine). Vitet e fundit, opsioni i fundit është bërë gjithnjë e më popullor. Performanca e këtyre zgjidhjeve mund të variojë nga qindra Mbps në 160 Gbps për një pajisje të vetme harduerike, e cila gjithashtu mund të kombinohet në grupe për rritjen e performancës. Kostoja mund të ndryshojë nga disa mijëra në miliona dollarë amerikanë.

Sistemi DPI, si rregull, instalohet në kufirin e rrjetit të operatorit, në këtë mënyrë, i gjithë trafiku që del ose hyn në këtë rrjet kalon përmes DPI, gjë që bën të mundur monitorimin dhe kontrollin e tij.

Aplikacion

Falë zbatimit të sistemeve DPI, operatori ka një mjet të fuqishëm për zgjidhjen e detyrave të ndryshme për funksionimin dhe zhvillimin e rrjetit.

Reklamim i synuar

Meqenëse operatorët e telekomit drejtojnë trafikun e rrjetit të të gjithë klientëve të tyre, ata mund të kryejnë analiza të detajuara të sjelljes së përdoruesve në ueb, gjë që u mundëson atyre të mbledhin informacion në lidhje me interesat e përdoruesve. Ky informacion mund të përdoret nga kompanitë që specializohen në reklamat e synuara. Kjo qasje ka fituar pranim ndërkombëtar. Si rregull, mbledhja e informacionit kryhet pa dijeninë dhe pëlqimin e përdoruesve.

Implementimi QoS

Sistemi DPI mund të përdoret për të shkelur neutralitetin e rrjetit - implementimi QoS. Pra, duke përdorur DPI, operatori i të dhënave mund të kontrollojë përdorimin e kanaleve në të cilat sistemet DPI janë instaluar në nivelin OSI 7. Zgjidhja klasike e problemit të zbatimit QoS bazohet në ndërtimin e radhëve, bazuar në shënimin e trafikut me bit shërbimi në IP, 802.1q dhe kokat MPLS, me shpërndarjen e trafikut prioritar (për shembull, VPN ose IPTV). Këtij trafiku i garantohet gjerësia e brezit të specifikuar në çdo kohë. Në të njëjtën kohë, trafiku i shërbyer sipas parimit "Best Effort", i cili përfshin, ndër të tjera, trafikun e abonentëve në shtëpi, mbetet i pakontrolluar, gjë që bën të mundur që një sërë protokollesh, për shembull, BitTorrent, të përdorni me dorë të gjithë gjerësinë e brezit të lirë.

Përdorimi i DPI i siguron operatorit mundësinë për të shpërndarë kanalin midis aplikacioneve të ndryshme dhe për të futur politika fleksibël të kontrollit të trafikut: për shembull, lejoni trafikun BitTorrent të përdorë më shumë nga gjerësia e brezit gjatë natës sesa gjatë ditës. Një mundësi tjetër e përdorur shpesh nga operatori: bllokimi ose kufizimi i konsiderueshëm i gjerësisë së brezit të një lloji të caktuar trafiku, për shembull, telefonia VoIP nga operatorët celularë, gjë që redukton humbjet financiare nga përdoruesit që nuk përdorin shërbimet e komunikimit.

Menaxhimi i abonimit

Një aspekt tjetër i zbatimit QoS të bazuar në DPI është aksesueshmëria e bazuar në abonim. Rregullat mbi bazën e të cilave kryhet bllokimi mund të përcaktohen përmes dy bazave kryesore: për shërbim ose për abonent. Në rastin e parë, përcaktohet se një aplikacion specifik lejohet të përdorë një gjerësi të caktuar brezi. Në të dytin, aplikacioni lidhet me brezin për çdo pajtimtar ose grup abonentësh në mënyrë të pavarur nga të tjerët, gjë që bëhet përmes integrimit të DPI me sistemet ekzistuese OSS/BSS të operatorit.

Kështu, sistemi mund të konfigurohet në mënyrë që çdo përdorues të mund të përdorë vetëm ato shërbime dhe nga ato pajisje për të cilat është rënë dakord më parë. Kjo i lejon operatorët e telekomit të krijojnë plane tarifore tepër fleksibël.

Nëse po flasim për trafikun e operatorëve celularë, DPI ju lejon të kontrolloni ngarkesën e secilit stacion bazë veç e veç, duke shpërndarë në mënyrë të drejtë burimet e tij në atë mënyrë që të gjithë përdoruesit të jenë të kënaqur me cilësinë e shërbimit. Kjo detyrë mund të zgjidhet nga forcat e bërthamës së lëvizshme, e cila nuk është gjithmonë buxhetore.

Përdorimi nga agjencitë qeveritare

Duke përdorur DPI, agjencitë e inteligjencës mund të monitorojnë aktivitetin e rrjetit të një përdoruesi të caktuar. Përveç monitorimit, mund të ndikoni aktivisht në këtë aktivitet duke kufizuar aksesin në përdorimin e VPN, HTTPS dhe mjeteve të tjera që e bëjnë të pamundur analizimin e përmbajtjes së rrjetit. Për më tepër, janë zgjidhjet e bazuara në DPI që përdoren për të bllokuar aksesin në burimet e ndaluara të internetit në SHBA, Kinë, Iran, Rusi. Pra, në Kinë u zhvillua standardi DPI (Y.2770), i miratuar më vonë nga Unioni Ndërkombëtar i Telekomunikacionit (ITU).

DPI është një pjesë integrale e sistemeve si SORM-2 dhe Echelon.

DPI për trafikun e koduar

HTTPS dhe protokollet e tjera të enkriptimit janë bërë më të përhapura vitet e fundit. Kriptimi mbron informacionin konfidencial të përdoruesit kudo në rrjet, duke përfshirë faqet e ndërmjetme. Fatkeqësisht, HTTPS ka qenë një problem i gjatë për pajisjet DPI. Meqenëse ngarkesa e paketave është e koduar, nyjet e ndërmjetme të rrjetit nuk mund të analizojnë më ngarkesën dhe të kryejnë detyrat e tyre. Duhet të theksohet se përdorimi i protokolleve të enkriptimit në nivelin e aplikacionit nuk e pengon sistemin DPI të analizojë trafikun në nivele më të ulëta, por ul ndjeshëm efikasitetin e tij. Për shembull, HTTPS nuk do të pengojë sistemin DPI të ekzaminojë kokën TCP të paketës në mënyrë që të përcaktojë portin e destinacionit dhe të përpiqet ta përputhë atë me një aplikacion specifik, por nuk do të lejojë analizimin e ngarkesës së shtresës së aplikacionit: sistemi DPI do të të jetë në gjendje të përcaktojë kohën, vëllimin dhe destinacionin e paketës, por jo përmbajtjen e saj.

Bazuar në sa më sipër, mund të konkludohet se kriptimi i trafikut nuk ndërhyn në zbatimin e menaxhimit të abonimeve të bazuara në QoS dhe DPI.

Përdorimi i HTTPS do të ndihmojë në mbrojtjen e të dhënave nga DPI vetëm në tranzit. Nëse sistemi DPI është i instaluar në anën e serverit, me të cilin klienti ndërvepron, atëherë të dhënat do të përpunohen në tekst të qartë. Për shembull, kur ndërveproni me serverët e Google, pavarësisht nga përdorimi i HTTPS-së, sistemet DPI mbledhin informacione për të ofruar reklama kontekstuale.

Për të zgjidhur problemin e analizimit të trafikut të koduar, disa sisteme DPI që janë duke u zhvilluar aktualisht mbështesin një mekanizëm të pasigurt për krijimin e një lidhjeje HTTPS: ata, në fakt, kryejnë një sulm MITM në protokollin SSL dhe dekriptojnë trafikun në një nyje të ndërmjetme. Kjo qasje shkel parimin e kriptimit nga skaji në skaj të SSL. Ajo gjithashtu shkakton zhgënjim tek përdoruesit.

Kështu, ne përballemi me një zgjedhje të pahijshme të vetëm një prej veçorive të nevojshme: funksionalitetin e sistemeve DPI ose konfidencialitetin e siguruar nga kriptimi. Në pamje të parë, mund të duket se këto veti kundërshtojnë njëra-tjetrën në një nivel themelor: sistemi DPI nuk mund të përpunojë përmbajtjen e paketës kur nuk mund ta shohë përmbajtjen. Projekti BlindBox është i përkushtuar për zgjidhjen e kësaj kontradikte dhe ndërtimin e një sistemi që kënaq të dyja pronat.

BlindBox

Përshkrim

Qasja e BlindBox është të analizojë ngarkesën direkte të koduar, pa e deshifruar atë në nyjen e ndërmjetme. Ndërtimi i një sistemi të tillë në praktikë është një detyrë e vështirë: rrjetet funksionojnë me shpejtësi shumë të larta, duke kërkuar operacione kriptografike që marrin mikro dhe madje edhe nanosekonda. Përveç kësaj, shumë nyje të ndërmjetme kërkojnë mbështetje për operacione me burime intensive, të tilla si analiza e bazuar në shprehje të rregullta.

Skemat kriptografike të tilla si enkriptimi plotësisht homomorfik ose funksional janë kandidatë të mundshëm, por këto skema janë mjaft të ngadalta dhe degradojnë performancën e rrjetit me disa renditje të madhësisë.

Për të zgjidhur këto probleme, BlindBox është e specializuar në rrjetëzim. BlindBox mbështet dy klasa të llogaritjes DPI, secila me garancitë e veta të privatësisë: privatësinë e bazuar në përputhje dhe privatësinë e shkakut të mundshëm.

Modeli i plotë i privatësisë së përputhjes siguron që një host i ndërmjetëm do të jetë në gjendje të zbulojë vetëm ato nënvargje të trafikut për të cilët ka një përputhje për fjalët kyçe të sulmeve të njohura. Për shembull, nëse ekziston një rregull për fjalën "ATTACK", atëherë nyja e ndërmjetme e di se në çfarë kompensimi të rrjedhës, nëse fare, shfaqet fjala "ATTACK", por nuk e di se cilat janë pjesët e tjera të trafikut. Trafiku që nuk përmban fjalë kyçe do të mbetet i palexuar nga hosti i ndërmjetëm.

Modeli i shkakut të mundshëm të privatësisë mbështetet në një logjikë të ndryshme: një nyje e ndërmjetme mund të dekriptojë të gjithë rrymën nëse gjendet një nënvarg trafiku që përputhet me një fjalë kyçe të një sulmi të njohur. Ky model është i përshtatshëm për detyrat e zbulimit të ndërhyrjeve që kërkojnë analizë duke përdorur shprehje ose skripta të rregullta. Ky model frymëzohet nga dy arsye: e para është modeli "shkaku i mundshëm" i ligjit penal amerikan: arsyeja e shkeljes së konfidencialitetit është vetëm ekzistenca e një arsyeje dyshimi. Së dyti, shumica e rregullave në sistemin e zbulimit të ndërhyrjeve të Snort që përdorin shprehje të rregullta së pari përpiqen të gjejnë fjalë kyçe të lidhura me sulmin në paketë dhe vetëm atëherë fillojnë të përdorin kërkime të shprehjeve të rregullta, përndryshe zbulimi do të ishte shumë i ngadalshëm.

Të dy modelet e privatësisë BlindBox janë shumë më të fuqishme se qasjet e bazuara në MITM që përdoren sot. Në të dyja qasjet, BlindBox mbron të dhënat duke përdorur skema të forta të enkriptimit pseudo-rastësor që ofrojnë garanci sigurie të ngjashme me skemat e kërkimit kriptografik të mirë-hulumtuara për të dhëna të koduara.

Arkitektura e sistemit

Figura 1 tregon arkitekturën e sistemit. Ai ka katër palë - dërguesin (O), marrësin (P), nyjen e ndërmjetme (PU) dhe gjeneruesin e rregullave (RG), i cili pasqyron arkitekturën standarde të nyjës së ndërmjetme për një ditë të caktuar. Gjeneruesi i rregullave ofron rregulla sulmi (të quajtura gjithashtu nënshkrime) që përdoren nga një PU për të zbuluar sulmet. Çdo rregull përpiqet të përshkruajë sulmin dhe përmban fusha: një ose më shumë fjalë kyçe në trafik, informacione të kompensimit për secilën fjalë kyçe dhe ndonjëherë shprehje të rregullta. Roli i mjekut të përgjithshëm sot kryhet nga organizata të tilla si Emerging Threats, McAfee, Symantec. Dërguesi dërgon trafik tek marrësi përmes një nyje të ndërmjetme, e cila i lejon dërguesit dhe marrësit të shkëmbejnë informacion nëse nuk zbulon nënshkrime në trafikun e tyre.

Figura 1. Arkitektura BlindBox. Artikujt me hije tregojnë algoritme të shtuara në BlindBox.

Le të hedhim një vështrim në modelin e aplikacionit BlindBox. Gjeneruesi i rregullave krijon një grup rregullash që përmban një listë të fjalëve kyçe që përdoren në sulmet ekzistuese ose janë me interes për t'u studiuar. Mjeku i përgjithshëm i nënshkruan ato duke përdorur çelësin e tij privat dhe ia dërgon PU-në përdoruesit e tij. Dërguesi dhe marrësi që i besojnë GPU-së krijojnë një konfigurim HTTPS BlindBox që përfshin çelësin publik të GPU-së. Pas fazës së inicializimit, GPU nuk përfshihet më kurrë drejtpërdrejt në protokoll. Tani po flasim për ndërveprimin midis dërguesit, marrësit dhe PU, kur dërguesi dhe marrësi nisin një lidhje në rrjetin e kontrolluar nga PU.

Krijimi i një lidhjeje

Së pari, dërguesi dhe marrësi kryejnë një shtrëngim duarsh të rregullt SSL, i cili i lejon ata të bien dakord për një çelës. Ata e përdorin atë për të marrë tre çelësa (për shembull, duke përdorur një PRNG):

Në të njëjtën kohë, UE kryen konfigurimin e vet të lidhjes për t'i mundësuar që të trajtojë trafikun e dërguesit dhe marrësit. Në procesin e shkëmbimit me dërguesin dhe marrësin, PU merr çdo rregull nga GP, të koduar në mënyrë përcaktuese në çelësin k - kjo më pas do të lejojë PU të kryejë zbulimin. Megjithatë, ky shkëmbim ndodh në atë mënyrë që PU nuk e di vlerën e k, dhe dërguesi dhe marrësi nuk e dinë se cilat janë rregullat. Ky shkëmbim quhet rregulla të enkriptimit të turbullta dhe përshkruhet në detaje në artikull.

Ndryshe nga shtrëngimi i duarve SSL i përshkruar më sipër, i cili është identik me shtrëngimin e rregullt të duarve SSL, rregullat e ndërlikuara të enkriptimit shtojnë një proces të ri. Meqenëse në zgjidhjet ekzistuese, klienti zakonisht nuk komunikon drejtpërdrejt me nyjet DPI (ndryshe nga llojet e tjera të nyjeve të ndërmjetme, të tilla si proxies eksplicite ose vrima NAT), kjo e bën praninë e DPI plotësisht "të padukshme", ky është një disavantazh i vogël. krahasuar me avantazhet e përdorimit të BlindBox.

Dërgimi i trafikut

Për të dërguar një mesazh, dërguesi duhet:

(1) Kripto trafikun duke përdorur SSL klasik.

(2) Ndani trafikun në etiketa (tokena) duke e ndarë atë në nënvargje të marra me zhvendosje të ndryshme dhe kriptoni etiketat që rezultojnë duke përdorur skemën e enkriptimit DPIEnc.

Zbulim

Pritësi i ndërmjetëm merr trafik të koduar SSL dhe etiketa të koduara. Motori i zbulimit do të kërkojë një përputhje midis rregullave të koduara dhe etiketave të koduara duke përdorur algoritmin e zbulimit BlindBox. Nëse gjendet një përputhje, kryhet një veprim i paracaktuar: hidhni paketën, mbyllni lidhjen, njoftoni administratorin e sistemit. Pas përfundimit të zbulimit, hosti inteligjent përcjell trafikun SSL dhe shenjat e koduara te marrësi.

Marrja e trafikut

Nga ana e marrësit, ndodhin dy gjëra. Së pari, marrësi deshifron dhe vërteton trafikun duke përdorur SSL të rregullt. Së dyti, marrësi verifikon që shenjat e koduara janë koduar saktë nga dërguesi. Falë kësaj, edhe nëse njëra palë përpiqet të mashtrojë, pala tjetër do të jetë në gjendje ta zbulojë atë.

Skema e enkriptimit DPIEnc

Dërguesi kodon çdo etiketë (token) t si:

Ku "kripë" është një numër i zgjedhur rastësisht, dhe kuptimi i RS (në fakt, ReduceSize) shpjegohet më poshtë.

Le të vërtetojmë domosdoshmërinë e skemës së enkriptimit DPIEnc. Supozoni se një nyje e ndërmjetme ka kaluar një çift (r, (r)) për çdo rregull r, por jo një çelës k. Le të fillojmë duke parë një skemë të thjeshtë enkriptimi përcaktues në vend të DPIEnc: le të jetë teksti shifror i t (t). Për të kontrolluar nëse t është e barabartë me fjalën kyçe r, PU mund të kontrollojë nëse (t)? = (R). Fatkeqësisht, rezultati do të jetë siguria e ulët, pasi çdo dukuri e t do të ketë të njëjtin tekst shifror. Për të zgjidhur këtë problem, ne duhet të fusim një element të rastësisë në enkriptim. Prandaj, ne do të përdorim një "funksion të rastësishëm" H me një kripë të rastësishme, dhe teksti shifror do të ketë strukturën e mëposhtme: kripë, H (kripë, (t)). Natyrisht, H duhet të jetë i njëanshëm dhe pseudo-rastësor.

Për të kontrolluar konsistencën, nyja e ndërmjetme mund të llogarisë H (kripë, (r)) bazuar në (r) dhe kripën, dhe më pas të kryejë një kontroll barazie. Implementimi tipik i H është SHA-1, por SHA-1 nuk është aq i shpejtë sa procesorët modernë AES janë implementuar në harduer dhe kjo mund të zvogëlojë xhiros. Në vend të kësaj, BlindBox H zbatohet përmes AES, por duhet të përdoret me kujdes pasi AES ka veti të ndryshme sigurie. Për të arritur vetitë e kërkuara, është e nevojshme të inicohet AES në një çelës të panjohur për nyjen e ndërmjetme derisa të gjendet nënshkrimi i sulmit. Kjo është arsyeja pse përdoret vlera (t).

Tani algoritmi është implementuar plotësisht në AES, i cili siguron shpejtësi të lartë të punës.

Më në fund, RS thjesht zvogëlon madhësinë e tekstit të shifruar për të zvogëluar kufizimin e gjerësisë së brezit pa kompromentuar sigurinë.

Në këtë zbatim, RS është 2 deri në fuqinë e 40-të, e cila jep një gjatësi teksti shifror prej 5 bajt. Si rezultat, teksti i koduar nuk deshifrohet më, gjë që nuk është problem pasi BlindBox gjithmonë deshifron trafikun nga rryma kryesore SSL.

Tani, për të përcaktuar korrespondencën midis fjalës kyçe r dhe tekstit shifror të etiketës t, nyja e ndërmjetme llogarit duke përdorur kripën dhe njohuritë (r) dhe më pas i kontrollon ato për barazi c.

Meqenëse, padyshim, nyja e ndërmjetme kontrollon çdo rregull r dhe etiketë t, koha totale e shpenzuar në etiketë është lineare me numrin e rregullave, i cili është shumë i ngadaltë.

Për të eliminuar këtë vonesë, futet një algoritëm zbulimi, duke e bërë varësinë e kohës së shpenzuar nga numri i rregullave logaritmike, si në algoritmet klasike DPI.

Rezultati është një përmirësim i ndjeshëm i performancës: për shembull, për një grup rregullash me 10,000 fjalë kyçe, kërkimet logaritmike janë katër rend të madhësisë më të shpejta se kërkimet lineare.

Protokolli i zbulimit

Gjendja e një nyje të ndërmjetme përbëhet nga numërues për çdo rregull r dhe një pemë kërkimi i shpejtë që përbëhet nga për çdo rregull r.

Prej disa vitesh jam përfshirë aktivisht në DPI, duke kryer parashitje dhe duke zbatuar drejtpërdrejt këto zgjidhje. Ajo që më shtyu të shkruaj këtë temë është se tema e DPI-së në Habré është zbuluar mjaft dobët, kështu që unë do të doja të flisja pak për pajisjet që përdoren nga ofruesit kryesorë të shërbimeve dhe përdoruesit e korporatave të mëdha për menaxhimin inteligjent të trafikut në rrjetet e tyre, dhe shpjegoni gjithashtu pse ata kanë nevojë për të gjitha ato të nevojshme.

Bazat

Sistemi DPI, siç nënkupton edhe emri, kryen një analizë të thellë të të gjitha paketave që kalojnë nëpër të. Termi "thellë" i referohet analizës së një pakete në shtresat e sipërme të modelit OSI, dhe jo vetëm nga numrat standardë të portit. Përveç studimit të paketave sipas disa modeleve standarde, me të cilat është e mundur të përcaktohet pa mëdyshje përkatësia e një pakete në një aplikacion të caktuar, për shembull, nga formati i titujve, numrave të portave, etj., sistemi DPI gjithashtu kryen e ashtuquajtura analizë e sjelljes së trafikut, e cila ju lejon të njihni aplikacione që nuk përdoren për shkëmbimin e të dhënave me tituj dhe struktura të dhënash të njohura më parë. Bittorrent është një shembull kryesor i kësaj. Për identifikimin e tyre, analiza e sekuencës së paketave me të njëjtat karakteristika, si Source_IP: port - Destination_IP: port, madhësia e paketës, frekuenca e hapjes së seancave të reja për njësi kohore, etj., kryhet sipas sjelljes (heuristike ) modelet që korrespondojnë me aplikacione të tilla. Natyrisht, sa shumë prodhues të pajisjeve të tilla, ka kaq shumë interpretime të modeleve të sjelljes së protokolleve përkatëse, që do të thotë se saktësia e zbulimit ndryshon gjithashtu. Duke folur për prodhuesit, vlen të përmendet se lojtarët më të mëdhenj dhe produktet e tyre në tregun e pavarur të DPI janë Allot Communications, Procera Networks, Cisco, Sandvine. Zgjidhjet DPI të integruara në ruter po bëhen gjithnjë e më të njohura. Shumë njerëz e bëjnë këtë - Cisco, Juniper, Ericsson, etj. nga lista. Zgjidhje të tilla, si rregull, janë mjaft kompromise dhe nuk mund të ofrojnë të gjithë gamën e shërbimeve të disponueshme për zgjidhjet e pavarura. Sidoqoftë, për shumicën e detyrave, kjo është mjaft e mjaftueshme. Unë me dashje nuk tregoj produktet softuerike që funksionojnë në serverë (siç është OpenDPI), tregu i tyre është shumë i ngushtë dhe, si rregull, është i kufizuar në rrjetet e korporatave / kampusit, dhe kjo është pak jashtë profilit tim. Një tipar i rëndësishëm dallues i DPI real është aftësia për të analizuar trafikun duke mbledhur lloje të ndryshme statistikash të ndara sipas aplikacioneve, sipas planeve tarifore, sipas rajoneve, sipas llojeve të pajisjeve të abonentëve, etj. Për këtë arsye, Cisco NBAR i mrekullueshëm, megjithëse ju lejon të zbuloni dhe kontrolloni trafikun me anë të aplikacionit, nuk është një zgjidhje e plotë DPI, sepse i mungojnë një sërë komponentësh të rëndësishëm.

Sistemi DPI, si rregull, instalohet në kufirin e rrjetit të operatorit në hendekun midis lidhjeve ekzistuese që largohen nga ruterët kufitarë. Kështu, i gjithë trafiku që del ose hyn në rrjetin e operatorit kalon përmes DPI, gjë që bën të mundur monitorimin dhe kontrollin e tij. Për të zgjidhur probleme specifike, mund ta instaloni këtë sistem jo në kufirin e rrjetit, por ta ulni atë poshtë, më afër përdoruesve fundorë, në nivelin BRAS / CMTS / GGSN / ... Kjo mund të jetë e dobishme për ata operatorë që, për një numër e arsyeve, përveç shfrytëzimit të kanaleve të jashtme, duan të zgjidhin edhe detyrën e kontrollit të brendshëm. Natyrisht, këtu po flasim për ofrues mjaft të mëdhenj shërbimesh me një rrjet të madh të shpërndarë në shkallë vendi dhe me kapacitete kanalesh mjaft të shtrenjta.

Në tregun e DPI, ka modele për një shumëllojshmëri të gjerë kuletash. Performanca e pajisjeve në treg varion nga qindra Mbps në 160 Gbps FDX brenda një kutie të vetme, e cila, si rregull, mund të kombinohet në grupe. Prandaj, kostoja është shumë serioze - nga disa mijëra në miliona dollarë amerikanë. Në rastin e segmenteve të korporatës, zgjidhjet përfshijnë lidhje me shpejtësi të ulët mbi ndërfaqet e bakrit të llojeve 10/100/1000. Zgjidhjet e operatorit janë krijuar për të lidhur lidhje të shumta 1GE dhe 10GE. Sa i përket zgjidhjeve plotësisht të pjekura, deri më tani tregu për ndërfaqet 100 GE në pajisjet e rrjetit është mjaft i varfër dhe i shtrenjtë, por sapo të shfaqet rasti i parë real i biznesit, shitësit e DPI do të ofrojnë zgjidhjet e duhura, sepse disa prej tyre tashmë kanë boshllëqe.

Problemi kryesor me të gjitha zgjidhjet ekzistuese DPI është se për të përcaktuar në mënyrë të qartë nëse një rrjedhë e caktuar e të dhënave i përket një prej aplikacioneve të rrjetit, një pajisje që kryen analizën e trafikut duhet të shohë të dy drejtimet e seancës. Me fjalë të tjera, trafiku në hyrje dhe në dalje brenda të njëjtit fluks duhet të kalojë përmes të njëjtës pajisje. Nëse pajisja kupton që sheh vetëm një drejtim brenda seancës, nuk është në gjendje ta lidh këtë rrjedhë me ndonjë kategori të njohur trafiku me të gjitha pasojat që pasojnë. Në lidhje me këtë, kur bëhet fjalë për kontrollin e lidhjeve në rritje, lind një pyetje shumë logjike për trafikun asimetrik, i cili për operatorët pak a shumë të mëdhenj nuk është ekzotik, por i zakonshëm. Shitës të ndryshëm e zgjidhin këtë problem në mënyra të ndryshme:

• Cisco është i kënaqur me gjysmë sesioni dhe përpiqet të përcaktojë llojin e aplikacionit të rrjetit duke përdorur vetëm këto të dhëna. Është e qartë se kjo teknikë vuan nga saktësia e zbulimit të aplikacioneve, veçanërisht ato që kërkojnë modele të analizës së sjelljes. Gjithashtu në një zbatim të tillë ka një sërë kufizimesh të vendosura në aftësinë për të menaxhuar një trafik të tillë, secili shitës ka të vetin.
• Për të zgjidhur problemin e trafikut asimetrik, Sandvine përdor idenë e mëposhtme - i gjithë trafiku që është asimetrik, duke përdorur kapsulimin në kornizat e transmetimit, përcillet në të gjitha pajisjet DPI të vendosura në të njëjtin domen. Si rezultat i këtij transferimi, pajisjet që kanë parë më parë vetëm një drejtim brenda seancës do të shohin edhe të dytin, në bazë të të cilit do të mund të kryhet një gamë e plotë masash për analizimin dhe menaxhimin e trafikut. Disavantazhi i kësaj skeme është i dukshëm - me vëllime të mëdha të trafikut asimetrik në rrjet, kërkesa serioze vendosen në kanalet e komunikimit që lidhin pajisjet DPI në site të ndryshme. Në disa raste, kur flasim për asimetrinë e porosive të disa gigabit (ose dhjetëra gigabit) në sekondë, kjo teknikë është e pazbatueshme për shkak të kostove të larta të përgjithshme për organizimin e një kanali midis faqeve.
• Procera dhe Allot bëjnë më të zgjuarit. Ideja është e ngjashme me zbatimin e Sandvine, me ndryshimin që nuk dërgohet trafik asimetrik midis sajteve, por metadata që e karakterizojnë atë qartë. Në përgjithësi, mund të supozojmë se këto janë tituj të protokollit, megjithëse në realitet gjithçka është pak më e ndërlikuar. Për shkak të një optimizimi të tillë, kërkesat për kanalet e komunikimit ndër-vend janë shumë më humane, në krahasim me zbatimin e Sandvine, fitimi mund të jetë deri në 95%. Duke parashikuar disa komente, do të përgjigjem menjëherë - po, funksionon, është konfirmuar në praktikë në rrjetet e prodhimit, e kam zbatuar personalisht me duart e mia.

Një tjetër pikë e rëndësishme, e cila është kritike për disa klientë, është frekuenca e përditësimit të dosjeve të nënshkrimeve, mbi bazën e të cilave kryhet analiza e trafikut. Disa shitës përditësohen një herë në tremujor, disa një herë në javë. Nëse është e nevojshme, një përditësim kritik (që përmban metoda për zbulimin e një versioni të ri të Skype, për shembull) mund të dalë përpara afatit. Si rregull, të gjithë shitësit lidhen në mënyrë adekuate me dëshirat e klientëve për të shtuar një protokoll të ri në listën e atyre të mbështetur dhe për të ndihmuar në çdo mënyrë të mundshme. Nuk është sekret që në çdo treg lokal ka aplikacione specifike që praktikisht mungojnë në vendet e tjera. Në Rusi dhe vendet e CIS, shembulli më i mrekullueshëm është agjenti Mail.ru. Ose, për shembull, një kërkesë e ngjashme mund të lindë pas lëshimit të lojës së ardhshme të rrjetit, e cila duhet të ndahet nga rrjedha e përgjithshme e të dhënave.

Ç'pritet më tej?

Tani lind një pyetje logjike - kështu që çfarë të bëjmë me gjithë këtë? Operatori merr një mjet mjaft të fuqishëm, me përdorimin e aftë të të cilit është e mundur të zgjidhen probleme të ndryshme të funksionimit dhe zhvillimit të rrjetit.

Implementimi QoS

Nga pikëpamja operacionale, operatori mund të kontrollojë përdorimin e kanaleve të lidhura me DPI në nivelin e aplikacionit. Më parë, ai zgjidhte problemet e zbatimit të QoS (Cilësia e Shërbimit) ekskluzivisht me anë të ndërtimit të radhëve bazuar në shënimin e trafikut me bit shërbimi në kokat e IP, 802.1q dhe MPLS, duke theksuar trafikun me prioritet më të lartë (lloje të ndryshme VPN, IPTV, SIP, etj.), dhe i garanton asaj një gjerësi bande të caktuar në çdo kohë të caktuar. Trafiku i llojit Best Effort, i cili përfshin të gjithë trafikun e internetit të abonentëve në shtëpi (HSI - Internet me shpejtësi të lartë), mbeti praktikisht i pakontrolluar, gjë që bëri të mundur që i njëjti Bittorrent të hiqte të gjithë gjerësinë e brezit falas, i cili, nga ana tjetër, çoi në degradimin e çdo web-aplikacioni tjetër. Duke përdorur DPI, operatori ka mundësinë të shpërndajë kanalin midis aplikacioneve të ndryshme. Për shembull, lejo që trafiku i Bittorrent të marrë më shumë gjerësi bande gjatë natës sesa gjatë orëve të pikut kur ka shumë trafik tjetër në internet në rrjet. Një masë tjetër popullore e përdorur nga shumë operatorë celularë është bllokimi i trafikut në Skype, si dhe të gjitha llojet e telefonisë SIP. Në vend të bllokimit të plotë, operatori mund të lejojë funksionimin e këtyre protokolleve, por me një shpejtësi shumë të ulët me një degradim përkatës të cilësisë së shërbimit për një aplikacion të caktuar, në mënyrë që të detyrojë përdoruesin të paguajë për shërbimet tradicionale të telefonisë, ose për një paketë shërbimesh speciale që lejon aksesin në shërbimet VoIP.

Menaxhimi i Abonentëve

Një pikë e rëndësishme është se rregullat mbi bazën e të cilave kryhet formësimi / bllokimi mund të specifikohen përmes dy bazave kryesore - për shërbim ose për pajtimtar. Në rastin e parë, në mënyrën më të thjeshtë, përcaktohet se një aplikacion specifik lejohet të përdorë një brez të caktuar. Në të dytin, aplikacioni lidhet me brezin për çdo pajtimtar ose grup abonentësh në mënyrë të pavarur nga të tjerët, gjë që bëhet përmes integrimit të DPI me sistemet ekzistuese OSS/BSS të operatorit. ato. ju mund ta konfiguroni sistemin në atë mënyrë që pajtimtari Vasya, i cili ka pompuar 100 gigabajt torrent në një javë, të kufizohet nga shpejtësia e shkarkimit të të njëjtave torrente në nivelin 70% të tarifës së blerë deri në fund të muaj. Dhe për pajtimtarin Petit, i cili bleu një shërbim shtesë të quajtur "Skype pa probleme", trafiku i aplikacionit Skype nuk do të bllokohet në asnjë rrethanë, por çdo tjetër - lehtësisht. Ju mund të lidheni me agjentin e përdoruesit dhe të lejoni shfletimin vetëm duke përdorur shfletuesit e rekomanduar, mund të bëni ridrejtime të ndërlikuara në varësi të llojit të shfletuesit ose sistemit operativ. Me fjalë të tjera, fleksibiliteti i planeve dhe opsioneve tarifore është i kufizuar vetëm nga sensi i përbashkët. Nëse po flasim për trafikun e operatorëve celularë, DPI ju lejon të kontrolloni ngarkesën e secilit stacion bazë veç e veç, duke shpërndarë në mënyrë të drejtë burimet BS në atë mënyrë që të gjithë përdoruesit të jenë të kënaqur me cilësinë e shërbimit. Sigurisht, kjo detyrë mund të zgjidhet me ndihmën e një bërthame celulare, por kjo nuk është gjithmonë buxhetore. Meqenëse përmenda operatorët celularë, dëshiroj të vërej se çdo prodhues vetë-respektues i EPC (Evolved Packet Core) për LTE integron funksionalitetin DPI në PDN-GW të tij, të mprehur për zgjidhjen e problemeve të operatorëve celularë.

Pse është e nevojshme e gjithë kjo?

Gjithçka tingëllon, natyrisht, jo shumë optimiste, por për shumë operatorë, për arsye ekonomike, është shumë më lirë të instalosh një sistem DPI për të kontrolluar përdorimin e kanalit sesa të zgjerosh lidhjet. Për më tepër, për ta bërë këtë pa shumë humbje të bazës së pajtimtarëve, sepse Prej kohësh dihet se pjesa më e madhe e trafikut gjenerohet nga rreth 5% e abonentëve më aktivë. Dhe në këtë rast, është ekonomikisht më e leverdishme që operatori të zvogëlojë bazën e pajtimtarëve, por të paguajë më pak para për lidhjet ngjitëse, sepse pompat më aktive do të largohen, për shkak të së cilës operatori detyrohet të paguajë një shumë mjaft të madhe për lidhjet ngjitëse çdo muaj. Ky është makthi i një tregtari, por në disa raste, humbja e klientëve është fitimprurëse. Delikatesa e situatës qëndron në faktin se herët a vonë do të vijë një moment kur të gjithë operatorët, në një mënyrë ose në një tjetër, do të formojnë diçka duke përdorur DPI. ato. nëse sot një operator fillon të shkurtojë torrentët, rokerët më aktivë do të shkojnë menjëherë te një tjetër. Pas kësaj, ngarkimi i kanaleve të tij do të kërcejë shumë dhe klientët do të fillojnë të ankohen se shfletimi në ueb nuk po funksionon mirë. Operatori do të mendojë, llogaritë dhe përfundimisht do të blejë DPI. Dhe kështu me radhë derisa të gjithë aktorët e tregut të fitojnë një sistem të tillë. Sigurisht, cilësimi i DPI nuk e çliron operatorin nga detyra e zgjerimit periodik të lidhjeve dhe rritjes së shpejtësisë së aksesit për pajtimtarët. Vetëm se tani këto shtesa nuk do të jenë jashtë kontrollit. ato. operatori do të dijë gjithmonë se çfarë lloj trafiku dhe sa do të kalojë nëpër kanalet e tij, kjo do të jetë e parashikueshme. Sigurisht, kur bëhet fjalë për kuti me vlerë 1 milion dollarë, nuk ka të bëjë vetëm me lidhjet ngjitëse, duhet ta kuptoni këtë. Mendimi im personal si përafrim i parë, si përdorues i një shërbimi të aksesit në internet me brez të gjerë, është se prerja dhe bllokimi i diçkaje është sigurisht e keqe dhe krejtësisht e gabuar. Por, duke parë përmes syve të një inxhinieri shpejtësinë me të cilën vëllimet e trafikut po rriten, përdorimi i DPI bëhet një shpëtim për shumë operatorë, sepse torrentët janë në gjendje të godasin me çekan pothuajse çdo lidhje lart sot.

Modeli i ri i shërbimit

Ne kaluam pa probleme në detyrën e zhvillimit të rrjetit dhe shërbimeve të tij. Duke parë sesi abonentët përdorin brezin e blerë, çfarë aplikacionesh përdorin, operatori mund të studiojë nevojat e çdo kategorie abonentësh dhe t'u ofrojë atyre plane tarifore më fleksibël dhe të avancuar. Për shembull, bazuar në faktin se pajtimtarët e tarifës Silver përdorin në mënyrë aktive shërbimet e telefonisë SIP të palëve të treta, ju mund t'u ofroni atyre një paketë shtesë që u lejon atyre të përdorin një shërbim të ngjashëm të ofruar nga operatori, por me zbritje. Pjesa tjetër e abonentëve, nëse dëshirojnë të përdorin telefoni më të lirë, do të motivohen të kalojnë në një tarifë më të shtrenjtë, duke blerë bonuse shtesë në formën e rritjes së shpejtësisë. Ju mund të mendoni për shumë raste, ky është vetëm një prej tyre. Allot prezantoi vizionin e tij të shërbimeve të personalizuara në prezantimin e tij, pjesë nga të cilat përmenden në materialin e publikuar dikur në Habré. Qasja është shumë interesante dhe e dobishme si për përdoruesin ashtu edhe për operatorin. Tendencat në zhvillimin e tregut të telekomunikacionit janë të tilla që operatorët të shesin tubacionin, siç po bëjnë tani, së shpejti do të jetë thjesht i padobishëm, ka shumë studime që e vërtetojnë këtë. ARPU nuk po rritet, konkurrenca është e lartë, pajisjet duhet të përmirësohen gjithnjë e më shpesh, shpenzimet e operatorëve rriten dhe dëshira për të përfituar vazhdon. Detyra e DPI-së në këtë kontekst është të zbatojë modele të reja për ofrimin e shërbimeve për përdoruesit përfundimtar. Disa operatorë botërorë tashmë po ecin drejt kësaj ideje me hapa të vegjël. Në Rusi, padyshim, ky proces do të jetë i gjatë dhe i dhimbshëm, sepse për të arritur detyrën, është e nevojshme të rindërtoni trurin e abonentëve në një frekuencë të ndryshme, gjë që është shumë e vështirë, pasi Të heqësh nga gjiri një person që të mos shkarkojë torrent dhe të blesh përmbajtje ligjore nuk është e lehtë. Nuk do të doja të filloja një diskutim tani mbi temën "Ku mund të marr përmbajtje ligjore?" Shitjet e Smart TV). Shpresoj që këto projekte të mos shuhen. Nuk ëndërroj ende për Netflix, por do të ishte mirë.

DPI di në mënyrë të përkryer se si të punojë në lidhje me sisteme të ndryshme VAS (Shërbime me vlerë të shtuar), si antispam, antivirus, optimizues video, etj. Thelbi i funksionalitetit është të devijojë një pjesë të trafikut sipas kritereve të vendosura nga administratori në pajisje të palëve të treta për analiza dhe përpunim më të thellë.

Është mjaft e lehtë të organizosh ofrimin e shërbimeve të kontrollit prindëror për përdoruesit, të cilat po bëhen gjithnjë e më të rëndësishme.

Shërbime të veçanta

Në fund do të doja të them disa fjalë se pse blihet edhe DPI, përveç abonentëve ngacmues. Pajisja DPI, për shkak të aftësisë së saj për të parë gjithçka dhe këdo që ndodh në rrjet, është një pajisje shumë interesante për shokët me uniformë, pa të cilën askund. Duke përdorur DPI, agjencitë e inteligjencës mund të monitorojnë aktivitetin e rrjetit të një përdoruesi të caktuar. Ju mund të bllokoni VPN, HTTPS dhe kënaqësi të tjera që e bëjnë të pamundur analizimin e përmbajtjes. Sigurisht, është e mundur të bllokohet qasja e përdoruesve në faqet e internetit që janë të kundërshtueshme për autoritetet, gjë që është shumë e rëndësishme në lidhje me zhvillimet e fundit në ligjbërjen në Rusi.

Neutraliteti neto

Së fundi, do të doja të them disa fjalë për neutralitetin e shumëvuajtur të rrjetit që ekziston në disa vende. Shkurtimisht, në mungesë të mbingarkesës në lidhjet ngjitëse, operatorëve tani u ndalohet të bllokojnë trafikun e aplikacioneve legjitime/ligjore. ato. Fillimi i bllokimit selektiv të çdo trafiku tani lejohet vetëm në rast të mbingarkesës. Por, në të njëjtën kohë, ende nuk ka një formulim të qartë se cilat aplikacione janë të ligjshme dhe cilat jo. Logjikisht, vetëm përmbajtja mund të jetë e paligjshme, jo aplikacionet. Për shembull, pornografia e fëmijëve është qartësisht përmbajtje e paligjshme, por protokollet HTTP dhe Bittorrent përmes të cilave mund të transmetohet janë mjaft të ligjshme. Pra, ka ende shumë vend për mosmarrëveshje, dhe tema, për mendimin tim, është shumë interesante. Deri më tani, nuk na vjen era e neutralitetit të rrjetit, prandaj operatorët kanë në dorë të gjitha kartat për menaxhimin e trafikut duke përdorur DPI.

Në vend të një përfundimi

Shpresojmë që ky postim të ketë ndihmuar dikë të strukturojë disi njohuritë e tij DPI. Do të mendoj të ndalem më në detaje në disa pika në opuset e radhës, nëse ka kërkesë për to, tema është mjaft e gjerë. Për të shmangur polemika të panevojshme, unë personalisht, si përdorues i shërbimeve të aksesit me brez të gjerë, jam kundër prerjes dhe bllokimit të çdo gjëje, gjë që në asnjë mënyrë nuk më pengon të bëj punën time. Unë do të jem i lumtur t'u përgjigjem pyetjeve tuaja.

Ofruesit e Federatës Ruse, në pjesën më të madhe, përdorin sisteme të analizës së thellë të trafikut (DPI, Deep Packet Inspection) për të bllokuar faqet e përfshira në regjistrin e ndaluar. Nuk ka asnjë standard të vetëm DPI, ka një numër të madh zgjidhjesh DPI nga ofrues të ndryshëm që ndryshojnë në llojin e lidhjes dhe llojin e punës.

Ekzistojnë dy lloje të zakonshme të lidhjes DPI: pasive dhe aktive.

DPI pasive

DPI pasive - DPI e lidhur me rrjetin e ofruesit paralelisht (jo në prerje) ose përmes një ndarësi optik pasiv, ose duke përdorur pasqyrimin e trafikut që del nga përdoruesit. Një lidhje e tillë nuk e ngadalëson shpejtësinë e rrjetit të ofruesit në rast të performancës së pamjaftueshme të DPI, prandaj përdoret nga ofruesit e mëdhenj. DPI me këtë lloj lidhjeje teknikisht mund të zbulojë vetëm një përpjekje për të kërkuar përmbajtje të ndaluar, por jo ta shtypë atë. Për të anashkaluar këtë kufizim dhe për të bllokuar hyrjen në faqen e ndaluar, DPI i dërgon një pako HTTP të krijuar posaçërisht te përdoruesi që kërkon URL-në e bllokuar, duke e ridrejtuar në faqen cung të ofruesit, sikur një përgjigje e tillë të ishte dërguar nga vetë burimi i kërkuar (IP e dërguesit adresa dhe sekuenca TCP janë të falsifikuara). Për shkak të faktit se DPI ndodhet fizikisht më afër përdoruesit sesa faqja e kërkuar, përgjigja e falsifikuar arrin në pajisjen e përdoruesit më shpejt se përgjigja reale nga faqja.

Zbulimi dhe bllokimi i paketave pasive DPI

Paketat e falsifikuara të gjeneruara nga DPI janë të lehta për t'u zbuluar me një analizues trafiku si Wireshark.
Përpjekja për të shkuar në faqen e bllokuar:

Mund të shohim që së pari një paketë vjen nga DPI, me një ridrejtim 302 HTTP, dhe më pas përgjigja e vërtetë nga faqja. Përgjigja nga faqja konsiderohet si ritransmetim dhe hidhet poshtë nga sistemi operativ. Shfletuesi ndjek lidhjen e dhënë në përgjigjen DPI dhe ne shohim faqen e bllokimit.

Le të hedhim një vështrim më të afërt në paketën DPI:

HTTP / 1.1 302 Lidhja e gjetur: mbyll Vendndodhja: http://warning.rt.ru/?id=17&st=0&dt=195.82.146.214&rs=http%3A%2F%2Frutracker.org%2F
Përgjigja DPI nuk vendos flamurin "Don" t Fragment, dhe fusha e Identifikimit është 1. Serverët në internet zakonisht vendosin bitin "Don "t Fragment" dhe paketat pa këtë bit janë të rralla. Ne mund ta përdorim këtë si një veçori dalluese të paketave nga DPI, së bashku me faktin që paketa të tilla përmbajnë gjithmonë një ridrejtim 302 HTTP dhe shkruajmë një rregull iptables për t'i bllokuar ato:
# iptables -A PËRPARA -p tcp --sport 80 -m u32 --u32 "0x4 = 0x10000 && 0x60 = 0x7761726e && 0x64 = 0x696e672e && 0x68 = 0x7Pm koment "OPX727"4
Cfare eshte? Moduli u32 iptables ju lejon të kryeni operacione bit dhe krahasimi në të dhënat 4-bajtë në një paketë. Një fushë identifikimi me 2 bajt ruhet në zhvendosje 0x4, e ndjekur menjëherë nga fushat "Flamuj" dhe "Fragment Offset" 1 bajt.
Duke filluar nga kompensimi 0x60, ndodhet domeni i ridrejtimit (Vendndodhja e kokës HTTP).
Nëse Identification = 1, Flags = 0, Fragment Offset = 0, 0x60 = "warn", 0x64 = "ing.", 0x68 = "rt.ru", atëherë ne e hedhim paketën dhe marrim një përgjigje të vërtetë nga faqja.

Në rastin e sajteve HTTPS, DPI dërgon një paketë TCP Reset, gjithashtu me Identification = 1 dhe Flags = 0.

DPI aktive

DPI aktive - DPI që lidhet me rrjetin e ofruesit në mënyrën e zakonshme, si çdo pajisje tjetër rrjeti. Ofruesi konfiguron rrugëzimin në mënyrë që DPI të marrë trafik nga përdoruesit në adresat IP ose domenet e bllokuara, dhe DPI tashmë vendos të kalojë ose bllokojë trafikun. DPI-ja aktive mund të kontrollojë trafikun në dalje dhe atë në hyrje, megjithatë, nëse ofruesi përdor DPI vetëm për të bllokuar faqet nga regjistri, ai më së shpeshti konfigurohet për të kontrolluar vetëm trafikun dalës.

Sistemet DPI janë krijuar për të trajtuar trafikun sa më shpejt që të jetë e mundur, duke ekzaminuar vetëm kërkesat më të njohura dhe duke injoruar kërkesat atipike, edhe nëse ato janë plotësisht në përputhje me standardin.

Eksplorimi i standardit HTTP

Kërkesat tipike HTTP thjeshtohen si kjo:
GET / HTTP / 1.1 Pritësi: habrahabr.ru Agjenti i përdoruesit: Mozilla / 5.0 (Windows NT 10.0; WOW64; rv: 49.0) Gecko / 20100101 Firefox / 50.0 Prano-Encoding: gzip, Connective keep-br,
Kërkesa fillon me një metodë HTTP, e ndjekur nga një hapësirë, e ndjekur nga një shteg, më pas një hapësirë ​​tjetër dhe rreshti përfundon me një protokoll dhe një ndërprerje të linjës CRLF.
Titujt fillojnë me një shkronjë të madhe, të ndjekur nga një karakter hapësirë.

Le të hedhim një vështrim në versionin më të fundit të standardit HTTP / 1.1 nga 2014. Sipas RFC 7230, titujt HTTP janë të pandjeshëm ndaj shkronjave të vogla dhe dy pika mund të ndiqet nga një numër arbitrar hapësirash (ose aspak).
Çdo fushë e titullit përbëhet nga një emër fushe pa ndjeshmëri ndaj shkronjave të vogla, i ndjekur nga një dy pika (":"), hapësirë ​​e bardhë opsionale kryesore, vlera e fushës dhe hapësira e bardhë opsionale pasuese. header-field = field-emri ":" OWS field-value OWS field-name = token field-value = * (field-content / obs-fold) field-content = field-vchar [1 * (SP / HTAB) fushë -vchar] fushë-vchar = VCHAR / obs-tekst obs-fold = CRLF 1 * (SP / HTAB); palosja e vijës së vjetëruar
OWS - opsionale një ose më shumë karaktere hapësinore ose skedash, SP - karakter me një hapësirë, HTAB - skedë, CRLF - furnizimi i linjës dhe kthimi i transportit (\ r \ n).

Kjo do të thotë që kërkesa e mëposhtme është plotësisht në përputhje me standardet dhe duhet të pranohet nga shumë serverë në internet që i përmbahen standardit:
GET / HTTP / 1.1 HoSt: habrahabr.ru agjent-përdoruesi: Mozilla / 5.0 (Windows NT 10.0; WOW64; rv: 49.0) Gecko / 20100101 Firefox / 50.0 Prano-Enkodimi: gzip, ruaje këtu deflate, karakteri i skedës midis dy pikave dhe vlerës
Në fakt, shumë serverë ueb nuk i pëlqejnë skedat si ndarës, megjithëse shumica dërrmuese e serverëve trajtojnë mungesën e hapësirave midis dy pikave në kokë dhe shumë hapësira.

Standardi i vjetër, RFC 2616, rekomandon që të analizohen me përbuzje kërkesat dhe përgjigjet e serverëve dhe klientëve të dëmtuar të ueb-it dhe të trajtohen saktë një numër arbitrar hapësirash në rreshtin e parë të kërkesave dhe përgjigjeve HTTP ku kërkohet vetëm një:

Klientët DUHET të jenë tolerantë në analizimin e Linjës së Statusit dhe serverët tolerantë kur analizojnë linjën e kërkesës. Në veçanti, ata DUHET të pranojnë çdo sasi karakteresh SP ose HT ndërmjet fushave, edhe pse kërkohet vetëm një SP e vetme.

Jo të gjithë serverët e internetit i përmbahen këtij rekomandimi. Për shkak të dy hapësirave midis metodës dhe rrugës, disa sajte prishen.

Zbritja në nivelin TCP

Një lidhje TCP fillon me një kërkesë SYN dhe një përgjigje SYN / ACK. Në kërkesë, klienti, midis informacioneve të tjera, tregon madhësinë e dritares TCP (TCP Window Size) - numrin e bajteve që është gati të marrë pa pranuar transmetimin. Serveri gjithashtu tregon këtë vlerë. Në internet, vlera MTU është 1500, e cila ju lejon të dërgoni deri në 1460 bajt të dhëna në një paketë të vetme TCP.
Nëse serveri specifikon një madhësi dritareje TCP më pak se 1460, klienti do të dërgojë aq të dhëna në paketën e parë siç specifikohet në këtë parametër.

Nëse serveri dërgon madhësinë e dritares TCP = 2 në një paketë SYN / ACK (ose e ndryshojmë atë në këtë vlerë në anën e klientit), atëherë shfletuesi do të dërgojë një kërkesë HTTP në dy pako:

Paketa 1:
Paketa GE 2: T / HTTP / 1.1 Pritësi: habrahabr.ru Agjenti i përdoruesit: Mozilla / 5.0 (Windows NT 10.0; WOW64; rv: 49.0) Gecko / 20100101 Firefox / 50.0 Prano-Enkodimi i lidhjes, gzip - i gjallë

Ne përdorim veçoritë e HTTP dhe TCP për të anashkaluar DPI aktive

Shumë zgjidhje DPI presin titujt vetëm në format standard.
Për të bllokuar faqet sipas domenit ose URI, ata kërkojnë vargun " Mikpritës:"në trupin e kërkesës. Vlen të zëvendësohet "header "Host me" host "ose të hiqet hapësira pas dy pikave, dhe faqja e kërkuar do të hapet para jush.
Jo të gjithë DPI-të mund të mashtrohen me një truk kaq të thjeshtë. DPI-të e disa ofruesve analizojnë saktë titujt HTTP në përputhje me standardin, por ata nuk janë në gjendje të mbledhin një transmetim TCP nga disa pako. Për DPI të tilla, "fragmentimi" i paketës është i përshtatshëm, duke zvogëluar artificialisht madhësinë e dritares TCP.

Për momentin, në Federatën Ruse DPI është instaluar si në ofruesit fundorë ashtu edhe në kanalet e trafikut tranzit. Ka raste kur mund të anashkaloni DPI-në e ISP-së tuaj në një mënyrë, por shihni një cung të ofruesit të transportit. Në raste të tilla, ju duhet të kombinoni të gjitha metodat e disponueshme.

Programi i anashkalimit të DPI

Kam shkruar një program për të anashkaluar DPI nën Windows: GoodbyeDPI.
Mund të bllokojë paketat me ridrejtim nga DPI pasive, të zëvendësojë Host-in me host, të heqë hapësirën midis dy pikave dhe vlerës së hostit në kokën e hostit, të "fragmentojë" paketat HTTP dhe HTTPS (cakto madhësinë e dritares TCP) dhe të shtojë një hapësirë ​​shtesë midis metodën HTTP dhe nga.
Avantazhi i kësaj zgjidhjeje është se është plotësisht i pavarur: nuk ka serverë të jashtëm për të bllokuar.

Si parazgjedhje, opsionet janë aktivizuar, që synojnë përputhshmërinë maksimale me ofruesit, por jo në shpejtësinë e punës. Ekzekutoni programin si më poshtë:
goodbyedpi.exe -1 -a Nëse faqet e bllokuara fillojnë të hapen, DPI-ja e ISP-së tuaj mund të anashkalohet.
Provoni të ekzekutoni programin me parametrin -2 dhe shkoni te faqja e bllokuar HTTPS. Nëse gjithçka vazhdon të funksionojë, provoni modalitetin -3 dhe -4 (më i shpejtë).
Disa ofrues, për shembull, Megafon dhe Yota, nuk lejojnë pako të fragmentuara mbi HTTP dhe faqet ndalojnë fare hapjen. Me ofrues të tillë, përdorni opsionin -3 -a

Proxy efikas për të anashkaluar bllokimin e IP

Në rastin e bllokimit sipas adresës IP, ofruesit filtrojnë vetëm kërkesat dalëse drejt adresave IP nga regjistri, por jo paketat hyrëse nga këto adresa.
Programi funksionon si një server proxy efektiv: paketat që dalin nga klienti dërgohen në serverin ReQrypt në formë të koduar, serveri ReQrypt i përcjell ato në serverin e destinacionit. me zëvendësimin e adresës IP dalëse për klientin, serveri i destinacionit i përgjigjet drejtpërdrejt klientit, duke anashkaluar ReQrypt.

Nëse kompjuteri ynë është prapa NAT, ne nuk mund të dërgojmë thjesht një kërkesë në serverin ReQrypt dhe të presim një përgjigje nga faqja. Përgjigja nuk do të arrijë, sepse asnjë hyrje nuk është krijuar në tabelën NAT për këtë adresë IP.
Për të thyer përmes NAT, ReQrypt dërgon paketën e parë në një lidhje TCP direkt në sajt, por me TTL = 3. Ai shton një hyrje në tabelën NAT të ruterit, por nuk arrin në sitin e destinacionit.

Për një kohë të gjatë, zhvillimi ishte i ngrirë për faktin se autori nuk mund të gjente një server me mundësinë e mashtrimit. Mashtrimi i adresave IP shpesh përdoret për të përforcuar sulmet nëpërmjet DNS, NNTP dhe protokolleve të tjera, kjo është arsyeja pse është e ndaluar nga shumica dërrmuese e ISP-ve. Por serveri u gjet, megjithëse jo më i miri. Zhvillimi vazhdon. Shto etiketa

Njëherë e një kohë kishte një ofrues të madh, që lejonte kalimin e paketave, pak nga pak trafik i kufizuar. Të gjithë ishin të lumtur. Ose pothuajse të gjithë. Derisa dikush tha: "Ne nuk kemi kontrolle të mjaftueshme të trafikut". Kështu u shfaq DPI në një rrjet komod dhe të banueshëm. Kjo bishë e re me kartën e saj zvarritet në thellësitë e paketave, ku muret e thjeshta të zjarrit nuk mund të arrijnë.

Sistemet DPI (Deep Packet Inspection) po fitojnë gjithnjë e më shumë popullaritet, pavarësisht kostos së tyre astronomike. Tani pothuajse çdo shitës i madh ka zgjidhjen e vet. Cisco ka Cisco SCE, Huawei ka SIG9800, Juniper ka VXA. Ka edhe kompani më pak të njohura që prodhojnë kryesisht pajisje DPI. Për shembull, Allot ose Inline Telecom me Sandvine e tyre. Duket se edhe djemtë rusë u ndezën: Trafiku.

Pra, pse janë kaq interesante këto komplekse, të cilat kushtojnë disa para të tepruara? Shërbëtori juaj rebel i ka kushtuar disa muaj integrimit të DPI dhe kam diçka për të thënë.

Çfarë lloj mjetesh të kontrollit të trafikut kemi tani?

1. Bazuar në adresat MAC ose VLAN. Shumë i vrazhdë.
2. Nga adresat IP të marrësve ose dërguesve. Kjo është ajo që bëhet shpesh tani.
3. Nga portet TCP dhe UDP. E bëjnë edhe atë.
4. Në serverët proxy, ju mund të kufizoni sipas emrit të domenit. Por a mund të imagjinoni një server proxy për pajtimtarët në rrjetin e ofruesit?

Bazuar në parametrat e mësipërm të paketës, mund të ndërtoni një ACL ose të konfiguroni QoS. Por, duke vënë dorën në tastierë, a mund të kufizoni aksesin në vetëm një blog në LJ pa e mbyllur vetë LJ-në? A mund të izoloni trafikun torrent nga pjesa tjetër?

Kjo do të thotë, ju tani keni në duart tuaja mjetet e një muri zjarri shtetëror, i cili arrin nivelin maksimal të transportit (4 nga 7). DPI ju lejon të prerë në thellësinë e paketës, duke analizuar të dhënat në të gjitha shtresat OSI 1 deri në 7. Kjo është arsyeja pse ai dhe Deep. Edhe tunelet pa enkriptim (QinQ, GRE, MPLS, etj.) janë shumë të vështira për të.

Pra, çfarë mund të bëjë ai në të vërtetë:

1. Mblidhni një shumëllojshmëri të gjerë statistikash. Tani do t'u prezantoni atyre pothuajse çdo tekë të tregtarëve në një pjatë argjendi.
2. Filtro (izolo) trafikun sipas kritereve të caktuara. Këtu, emrat e domeneve dhe protokollet i shtohen adresës së dukshme IP + portit. Për shembull, trafiku kompleks P2P ose Skype përcaktohet këtu me një zhurmë.
3. Aplikoni të gjitha llojet e politikave për abonentët. Ato mund të jenë ose statike - ju zgjidhni kush, çfarë dhe kur mundeni, dhe me çfarë prioritetesh - ose dinamike - ekziston diku një server i centralizuar që u përgjigjet këtyre pyetjeve. Nga rruga, pajtimtarët mund të jenë jo vetëm përdorues të zakonshëm të rrjeteve fikse, por edhe, për shembull, me valë, me të gjitha atributet e qenësishme (APN-të, numrat e telefonit mund të gjurmohen, mënyra e hyrjes - GERAN, UTRAN ...)
4. Parandalimi i sulmeve. Po flasim për sulme të rrjetit nga jashtë, si DoS, skanimi i porteve. Janë zbuluar edhe disa sulme nga brenda.
5. Falë aftësisë për të pasqyruar dhe ridrejtuar trafikun, të gjitha llojet e gjërave të këndshme janë të mundshme, si kontrollimi i postës për postë të padëshiruar ose trafiku nga faqet e internetit për viruse.

Si i përcakton makina e shejtanit sulmet dhe nëse trafiku i përket një ose një protokolli tjetër? Për ta bërë këtë, ajo ka tre mënyra:

1. Rregulla të qarta..ru "në kokën HTTP;
2. Nënshkrimet. Ato përgatiten nga shitësi dhe përmbajnë një shumëllojshmëri të gjerë rregullash në bazë të të cilave trafiku do të filtrohet. Është e mundur që ky skedar të përgatitet duke marrë parasysh dëshirat tuaja. Skedari i nënshkrimit përditësohet periodikisht dhe, në varësi të prodhuesit, ose shkarkohet automatikisht nga hardueri, ose duhet ta bëni me dorë;
3. Analiza e sjelljes. Në këtë pikë, e gjithë filozofia e fjalës Thellë në titull. Shumë sisteme DPI ju lejojnë të ndërmerrni veprime bazuar në "çuditë" në sjelljen e trafikut - për të përcaktuar një protokoll ose për të zbuluar dhe parandaluar një sulm.

Shembulli më i thjeshtë: keni nisur një skaner porti. Programi hyn në adresën e specifikuar dhe numëron të gjitha 65,535 portat TCP, për shembull. Është e qartë se asnjë program i shëndetshëm nuk do të krijojë lidhje të tilla të egra - kjo është një zile që bie për DPI se diçka nuk është në rregull në rrjet.

Pata një shans të prek dhe madje të gërmoj me interes në linjën e komandës së zgjidhjes SIG9810 - DPI të Huawei. Prandaj, unë do t'ju tregoj për integrimin e tij. Unë mendoj se parimet e funksionimit të pajisjeve të çdo shitësi tjetër ndryshojnë paksa.

Pajisjet DPI vendosen në një hendek, gjë që është mjaft logjike. Kjo do të thotë, në mënyrë shumë të përafërt, si kjo:

I gjithë trafiku, natyrisht, kalon përmes sistemit, ku zbatohen politika për të dhe merren të gjitha statistikat.

Për sa i përket harduerit, DPI përbëhet nga komponentët e mëposhtëm:

1. Bypass;
2. Pajisja e përparme;
3. Pajisja Back-End;
4. Serveri PCRF (Funksioni i rregullave të politikave dhe tarifimit);
5. Ndërprerëset për të siguruar lidhjen ndërmjet komponentëve.

Opsionale:

6. Serverët (statusi i sistemit të monitorimit, syslog);

7. Vargjet e diskut (për ruajtjen e statistikave dhe për serverët);

8. Pajisjet VAS (Shërbime me vlerë të shtuar - kontrolloni për spam dhe viruse, kontroll prindëror).

Një skemë tipike duket si kjo:

E gjithë kjo së bashku kërkon 2-3 rafte. Unë do t'ju tregoj me radhë për secilën prej tyre.

1) Bypass

Çfarë ndodh kur shtoni një artikull tjetër në rrjet? Dhe aq më tepër një raft? Ashtu është, një hallkë tjetër e dobët po shfaqet. Bypass synon ta korrigjojë sadopak këtë situatë.

Ai është i lidhur fillimisht me rrjetin dhe Front-End tashmë është i lidhur me të.

Ka dy mënyra funksionimi:

1. Mbrojtëse. Trafiku shkon drejtpërdrejt dhe nuk kthehet në Front-End

2. Punëtor. Trafiku kthehet në Front-End, por në këtë rast kalon në kanalin direkt, si në rastin e parë.

Bypass do të bëjë të pamundurën për të mbajtur lidhjen.

Front-End prishet (bordi i djegur) - trafiku kalon në kanalin e mbrojtjes.

Lidhja me Front-End është shqyer (porti është djegur, kablloja është dëmtuar) - trafiku kalon në kanalin mbrojtës.

Energjia elektrike është fikur - trafiku kalon në kanalin mbrojtës.

Bypass-et janë elektrike dhe optike. Ato elektrike bazohen në reletë dhe përdoren me tela bakri, domethënë shpejtësia maksimale për kanal është 1 Gb / s.

Optika është shumë më e ftohtë. Përveç shpejtësisë për kanal deri në 10 Gb / s, ekziston mundësia e pasqyrimit të trafikut falas - rrezja e dritës nuk do të ulet. Kjo do të thotë, ndërsa trafiku kalon përmes një kanali të drejtpërdrejtë, një kopje e tij dërgohet në Front-End. Nuk mund të kryesh asnjë veprim në trafik, por statistikat tashmë mund të mblidhen.

D

2) Front-End

Ky është një shirës ferri. Gigabitët po nxitojnë përmes tij, është në të që çdo paketë analizohet me bajt, është në të që trafiku i secilit pajtimtar i nënshtrohet ekzekutimit në përputhje me politikat.

Në thelb është një ruter modular shumë i fuqishëm.

Ka një kokë - bordet e kontrollit për vetë pajisjen - si rregull, ka dy prej tyre - master / skllav.

Ekzistojnë karta linjash që janë përgjegjëse për marrjen dhe transmetimin e trafikut, domethënë shtresat fizike, kanalet dhe paksa të rrjetit.

Ka fabrika komutuese që janë përgjegjëse për transferimin e të dhënave ndërmjet bordeve.

Dhe së fundi, tarifat e përpunimit të dorës, të cilat i lopatëzojnë këto grumbullime, vendosin kufizime, mbledhin statistika dhe arrijnë të ndërveprojnë me Back-End dhe serverin PCRF, duke kërkuar politika dhe duke transferuar të dhëna tek ata.

3) Back-End

Ky është një hambar i madh ku ruhet gjithçka. Këtu janë detajet e të gjitha politikave, të gjitha statistikat e mbledhura, nënshkrimet, rregullat e pasqyrimit dhe ridrejtimit, paketat me rreze dërgohen këtu e kështu me radhë. Çdo gjë mund të merret në çdo kohë.

Për sa i përket harduerit, Huawei ka një server blade. Çdo tabelë është e dyfishuar. Disa janë të këmbyeshëm, të tjerët janë balancues të ngarkesës.

4) Serveri PCRF

Për ta thënë shumë përafërsisht, ai ruan korrespondencat: përdoruesi është numri i politikës. Front-End i dërgon atij identifikuesin e pajtimtarit, ai kthen numrin e politikës, Front-End kërkon detajet e politikës përkatëse në Back-End.

Si rregull, serveri PCRF është një për shumë site.

Nga perspektiva e rrjetit, DPI mund të ndahet në tre pjesë:

1) pjesë me shpejtësi super të lartë;

Trafiku i përdoruesit

Llogaritur në Gigabit për sekondë

2) Rrjeti i ndërveprimit të komponentëve (FE, BE, server);

Këtu trafiku është i vogël dhe gigibit (madje qindra) me interes. Vetëm informacioni i shërbimit udhëton përmes këtij rrjeti.

3) kontroll dhe PCRF - ndërfaqe me rrjetin e jashtëm (për DPI).

Këto janë kanale në rrjetin OMC (qendra e operimit dhe mirëmbajtjes), kalimi në serverin PCRF. Gjithashtu vetëm për qëllime biznesi - akses në pajisje dhe NMS (Serveri i Menaxhimit të Rrjetit).

Në praktikë

Statistikat më të pasura mund të mblidhen. Ketu jane disa shembuj:

Trafiku total në qytet i ndarë në lloje të ndryshme:

E njëjta gjë në formën e një byreku:

Cili hosting video mbizotëron:

10 faqet kryesore sipas numrit të lidhjeve:

10 faqet kryesore sipas vëllimit të trafikut:

Trafiku për çdo pajtimtar veç e veç në kategorinë WEB:

Përdoruesit më aktivë:

Dhe këtu është një shembull i aplikimit të politikave: gjithçka bëhet në fluturim - dhe kalojnë disa sekonda midis komandës dhe efektit të saj.

Fotografia tregon veprimin e politikës që kufizon trafikun total në 700 kb/s, ndërsa prioriteti për video (jeshile), dhe për P2P (vjollcë) 200 kb/s është i garantuar.

Dhe ky është një shembull i përdorimit të vetëm prioriteteve. Kufiri i përgjithshëm është gjithashtu 700 kb / s, përparësia më e lartë është video (jeshile), e dyta është FTP (e kuqe) dhe vjollca është P2P

Politikat gjithashtu mund të vendosen në mënyrë shumë fleksibël:

• kufizoni shpejtësinë e përgjithshme të trafikut deri në bllokim;
• kufizoni shpejtësinë e trafikut për secilën kategori (web, video, p2p, IM, e kështu me radhë) veçmas deri në bllokim;
• caktoni një gjerësi brezi për çdo lloj trafiku (për shembull, jo më shumë se megabit / s, por duhet të garantohen 200 kb / s);
• tregoni përparësinë për secilin lloj.

Dhe mënyra të tjera më pak të dukshme.

Më pëlqejnë të gjitha llojet e kolosëve të mëdhenj, si KrAZ, BelAZ - mund të ndjeni fuqinë e paimagjinueshme në zhurmën e motorëve të tyre dhe një frikë të lehtë para tyre. Përvojë shumë e ngjashme DPI. Fjalët nuk mund të përcjellin rrjedhën e ajrit të turbinës nga ftohësit, vezullimin e dhjetëra LED-ve në errësirën e dhomës së kompjuterit, tufën e ngushtë të telave optikë që hyjnë në Bypass-in misterioz dhe mundësitë pothuajse të pakufizuara që ai ofron. Mundësi që të bëjnë jo administrator rrjeti, por mjeshtër.

Një sistem inspektimi i thellë i paketave, ose DPI, analizon paketat që kalojnë përmes tij dhe i përcjell, i shënon, i bllokon ose i kufizon ato, duke dhënë kontroll pothuajse të plotë mbi trafikun. Për të identifikuar paketat, pajisje të ndryshme përdorin parametra të ndryshëm: sekuencë, madhësi, përmbajtje, etj., gjë që në fund bën të mundur rishpërndarjen e trafikut midis abonentëve sipas përparësisë dhe madje mbledhjen e statistikave të detajuara të lidhjes për çdo përdorues individual.

DPI gjithashtu ju lejon të optimizoni performancën e rrjetit, duke parandaluar bllokimin e rrjetit dhe duke mbrojtur, për shembull, nga sulmet DDoS. Përveç kësaj, është e mundur të optimizoni rrjedhën e të dhënave brenda rrjetit duke caktuar trafikun prioritar në një ditë / orë të caktuar të ditës ose për kategori të caktuara përdoruesish. Për shembull, natën, trafiku nga një burim lejohet të marrë më shumë gjerësi brezi sesa gjatë ditës. Gjatë ditës, përparësi i jepet trafikut tjetër të internetit.

Shqyrtim i shkurtër

Të dy kompanitë e huaja dhe ruse janë të përfaqësuara në tregun e shërbimeve DPI. Shitësit e huaj kanë përvojë të gjerë: pothuajse të gjitha kompanitë - Allot Communications, Huawei Technologies, Procera Networks, Sandvine Incorporated - janë marrë me zgjidhje DPI për më shumë se 15 vjet. Përvoja e prodhuesve vendas - NAPA Labs, Peter Service, VAS Experts, Protey - është më modeste, por ata tërheqin klientët për shkak të çmimit: kostoja më e ulët e zgjidhjeve në rubla është një avantazh i shkëlqyer.

Sistemet e huaja përdorin zgjidhjet e tyre harduerike, gjë që e bën pajisjen e përfunduar më të besueshme, por ndikon ndjeshëm në koston drejt rritjes së saj. Komplekset ruse funksionojnë në serverë standardë - kjo lejon rritjen e kapacitetit të zgjidhjes. Për më tepër, kjo qasje siguron përputhshmërinë e softuerit me shumicën e platformave harduerike. Miza e mundshme: me këtë qasje, zgjidhjet perëndimore mund të jenë më të qëndrueshme se ato shtëpiake (optimizimi i sistemeve për një pajisje të caktuar i ka bërë gjithmonë kompjuterët më produktivë dhe të qëndrueshëm).

E rëndësishme: softueri i të gjitha sistemeve ruse është "mprehur" sipas legjislacionit rus. Më 9 shtator 2016, Kommersant publikoi informacion mbi draftin e udhërrëfyesit për zëvendësimin e importit të pajisjeve të telekomunikacionit në Rusi për 2016–2020 (lexoni më shumë rreth tij në blogun tonë). Sipas këtij dokumenti, disa shitës të huaj do të detyrohen të largohen nga tregu rus.

Zgjidhjet në treg

Konkurrenca e tregut është mjaft e fortë sa që shitësit ofrojnë linja produktesh për segmente të ndryshme (përdoruesit e korporatave, ISP-të dhe operatorët e telekomit) dhe cilësime fleksibël të performancës.

Për shembull, linja Procera PacketLogic përfshin 6 pajisje që ndryshojnë në gjerësinë e brezit (nga 1 Gbps në 600 Gbps), numrin maksimal të lidhjeve (nga 400 mijë në 240 milion), madhësinë e platformës harduerike (nga 1U në 14U) dhe etj. Seria më e re e platformave PL1000 është e përshtatshme për raportim, statistika dhe serverë trendi, ndërsa seria PL20000 është e klasit të transportuesit dhe tashmë është në gjendje të identifikojë trafikun e rrjetit duke përdorur DRDL në kohë reale, si dhe të punojë me trafik asimetrik.

Vlen të përmendet vendimi i kompanisë Allot Communications. Pajisjet e serisë Allot NetEnforcer janë sisteme harduerike të analizës dhe menaxhimit të trafikut të rrjetit që optimizojnë shërbimin e ofrimit të aksesit në internet me brez të gjerë për përdoruesit e korporatave dhe ISP-të. Zgjidhja gjithashtu përballon identifikimin dhe ndarjen e llojit të trafikut (p2p, video, skype, etj.).

Një tjetër kompleks i kompanisë - Allot Service Gateway - u krijua për operatorët celularë. Porta ju lejon të identifikoni trafikun me shpejtësi deri në 160 Gbps, të analizoni dhe vizualizoni atë për të optimizuar gjerësinë e brezit dhe për të përmirësuar cilësinë e shërbimit.

Sa për prodhuesit rusë, ata gjithashtu po përpiqen të vazhdojnë. Ne në VAS Experts jemi të specializuar edhe në krijimin dhe zbatimin e shërbimeve në fushën e kontrollit dhe analizës së trafikut.

Për shembull, portofoli ynë përfshin sistemin SKAT, i cili ka 6 platforma harduerike: nga SKAT-6 (6 Gb / s, deri në 400 mijë abonentë, 1U) në SKAT-160 (160 Gb / s, deri në 16 milion abonentë, 3U). SKAT dallon mbi 6000 protokolle, mund të funksionojë në 3 mënyra (ndërprerë, asimetri të trafikut në dalje, pasqyrë e trafikut), menaxhon abonentët me IP dinamike dhe mbështet disa lloje të Netflow.

Një kompani tjetër ruse, Napa Labs, prodhon një kompleks harduerësh dhe softuerësh DPI Equila të klasit të transportuesit në dy versione me funksionalitete të ndryshme, ndërsa mbështetet në interesin e ofruesve të internetit dhe klientëve të korporatave:

Shitësit e tjerë synojnë vetëm një segment specifik të tregut. Për shembull, STC PROTEI furnizon kompleksin e softuerit dhe harduerit PROTEI DPI për operatorët e telekomit. Zgjidhjet e kompanisë ndryshojnë në performancë dhe zgjidhin problemet e analizës dhe menaxhimit të trafikut, ofrimit të shërbimeve me vlerë të shtuar (VAS) dhe kufizimit të aksesit në burime të caktuara.

Huawei ofron sisteme vetëm për ISP-të. Zgjidhja e tij është sistemi i analizës së trafikut SIG9800-X, një portë shërbimi në klasën e transportuesit e ndërtuar mbi një platformë rrugëtimi. Kjo ju lejon të kryeni të gjitha funksionet e DPI: analizën dhe menaxhimin e trafikut, vizualizimin e raporteve mbi përdorimin e gjerësisë së brezit nga aplikacionet, QoS dhe mbrojtjen kundër sulmeve të rrjetit.

Komponentët individualë

Disa zgjidhje ofrojnë funksionalitet shtesë për një tarifë. Përveç një game të gjerë zgjidhjesh, në VAS Experts ne ofrojmë një zgjedhje prej 3 opsionesh licence për çdo platformë SKAT dhe një komponent shtesë - CASH Server.

Peter-Service ofron një zgjedhje prej 4 komponentësh për sistemin e tij TREC DPI. Kjo perfshin:

• Biblioteka e softuerit TREC.SDK për analizën e trafikut duke përdorur teknologjinë DPI (Inspektimi i thellë i paketave)
• Produktet softuerike TREC.Analyser dhe TREC.MDH për monitorimin, ruajtjen dhe analizimin e trafikut, si dhe menaxhimin e tij
• sisteme harduerike dhe softuerike për përpunimin e trafikut me gjerësi bande maksimale prej 10 Gb/s, 80 Gb/s dhe 600 Gb/s
• Sherbime Profesionale - Sherbime konsulence DPI

Përveç produkteve individuale me funksionalitetin e tyre, mund të blini gjithashtu module për shkallëzimin e rrjetit brenda së njëjtës linjë produkti. Të gjithë prodhuesit e sistemit DPI e mbështesin këtë opsion. Sa i përket shkallëzueshmërisë së sistemeve ruse, ajo nuk shkakton probleme për shkak të përdorimit të pajisjeve standarde - kjo është padyshim një plus.

Platformat virtuale

Avantazhi kryesor i platformave virtuale është aftësia për të instaluar në çdo pajisje të pajtueshme. Jo të gjithë shitësit kanë një mundësi të tillë, gjë që shpjegohet me përdorimin e pajisjeve speciale nga sistemet e huaja. Por një mundësi e tillë ofrohet nga Procera në Platformën PacketLogic / V dhe Sandvine në Serinë Virtuale PTS. Sa i përket tregut të brendshëm, Peter-Service ofron të vendosë zgjidhjen e tij në një mjedis virtual.

Platformat kanë të njëjtat funksione si zgjidhjet harduerike, por ato janë më fleksibël dhe konsumojnë sasinë e burimeve që janë të nevojshme për ngarkesën aktuale. Ato gjithashtu integrohen lehtësisht me infrastrukturën virtuale të operatorit, duke përfshirë rrjetin virtual.

konkluzioni

Përmbledhje: Zgjidhjet ruse kanë një kosto më të ulët (krahasuar me ato të huaja) dhe, në përputhje me rrethanat, një shpagim të shpejtë. Një platformë universale e harduerit dhe softuerit ju lejon të shtoni lehtësisht ndërfaqe rrjeti, të rrisni memorien dhe numrin e bërthamave të procesorit, por mund të çojë në një ulje të stabilitetit.

Për sa u përket furnitorëve të huaj, shumica e tyre janë në treg për mbi 15 vjet dhe kanë linja të gjera prodhimi për të gjitha segmentet. Ata gjithashtu lëshojnë sisteme produktive dhe të qëndrueshme në platformat e tyre harduerike, por aftësi të tilla sjellin disa të meta: koston e lartë të sistemeve dhe moduleve shtesë plus kosto shtesë të licencës gjatë shkallëzimit.

Lexim shtesë