Файл: Конспект лекций методы инспекции пакетов и анализа трафика (наименование дисциплины) СанктПетербург 2021 1.pdf

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ
РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ
ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
ѕСАНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ
ИМ. ПРОФ. М. А. БОНЧ-БРУЕВИЧАї
КАФЕДРА ИНФОКОММУНИКАЦИОННЫХ СИСТЕМ
КОНСПЕКТ ЛЕКЦИЙ
Методы инспекции пакетов и анализа трафика
(наименование дисциплины)
Санкт-Петербург 2021 1

Содержание
1 Эволюция методов анализа трафика
3 1.1 Цели дисциплины и литература
3 1.2 Развитие технологий инспекции пакетов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3 1.2.1 Shallow Packet Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4 1.2.2 7 tuples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6 1.2.3 Дифференцированное обслуживание (DiServ) . . . . . . . . . . . . . . . . . . . . . .
7 1.2.4 Методы маркировки пакетов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9 1.2.5 Lightweight Payload Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1.2.6 Medium Packet Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1.2.7 Middle Boxes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1.2.8 Deep packet inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1.3 DPI в СПС . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2 Принципы работы DPI, применение и возможности
22 2.1 История внедрения в РФ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 2.2 Обобщенная архитектура DPI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 2.3 Алгоритм работы серверов DPI
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2.4 Сигнатурный анализ в DPI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 3 DPI и СОРМ
38 3.1 Поколения СОРМ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 3.2 Возможности совместного использования DPI и СОРМ . . . . . . . . . . . . . . . . . . . . . . 43 4 Применение DPI и примеры решений
44 4.1 Возможности практического использования систем DPI . . . . . . . . . . . . . . . . . . . . . 44 4.2 Примеры решений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 4.3 Сетевой нейтралитет . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 4.4 Конфиденциальность
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 4.5 Проблема шифрования трафика . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 4.6 Виртуализация DPI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 4.7 Применение DPI совместно с технологией SDN . . . . . . . . . . . . . . . . . . . . . . . . . . 48 5 Заключение
53
Список литературы
54 2

1 Эволюция методов анализа трафика
1.1 Цели дисциплины и литература
Целью преподавания дисциплины ѕМетоды инспекции пакетов и анализа трафикаї является: Получить представление о современных системах контроля пакетного трафика в мультисервисных сетях. Эта цель достигается путем решения следующих(ей) задач(и): Проведением лекционных занятий на тему эволюции систем анализа трафика и всесторонних вопросов по технологии глубокой инспекции пакетов. Проведением лабораторных работ с использованием ПО nDPI для изучения методов создания сигнатур, а так же определения параметров работы системы анализа трафика. Изучением существующих вендорных решений в ходе самостоятельной работы.
В ходе обучения рекомендуется ознакомиться с литературой и электронными ресурсами приведенными ниже:
а) основная литература:
1. Г1. Методы инспекции пакетов и анализа трафика. Технология Deep Packet Inspection [Электронный ресурс] : учебно-методическое пособие / Б. С. Гольдштейн [и др.] ; рец. Р. В. Киричек ; Федеральное агентство связи, Федеральное государственное бюджетное образовательное учреждение высшего образования "Санкт-Петербургский государственный университет телекоммуникаций им. Проф. М. А. Бонч-Бруевича".
- СПб. : СПбГУТ, 2018. - 60 с. : ил., цв.ил. [21]
2. Гольдштейн, Б. С. Сети связи: Учебник [Электронный ресурс] / Б. С. Гольдштейн, Н. А. Соколов,
Г. Г. Яновский. - СПб. : БХВ-Петербург, 2014. - 401 с. : ил. - ISBN 978-5-9775-2798-9 : Б. ц.
б) дополнительная литература:
1.Гольдштейн, Б. С. Сети связи пост-NGN [Электронный ресурс] / Б. С. Гольдштейн, А. Е. Кучерявый.
- СПб. : БХВ-Петербург, 2014. - 160 с. : ил. - ISBN 978-5-9775-3251-8 : Б. ц.
в) электронные ресурсы:
1. http://iks.sut.ru (статьи и методички, презентации лекций).
1.2 Развитие технологий инспекции пакетов
Необходимость управлять передаваемыми данными возникла давно. Технологии анализа трафика развивались постепенно, каждая последующая заимствовала часть предыдущих механизмов и добавляла новые. Существует несколько технологий инспектирования трафика, которые активно используются в сети: Shallow Packet Inspection, Medium Packet Inspection, Lightweight Payload Inspection и Deep Packet
Inspection (DPI).
Shallow Packet Inspection (SPI) технология ѕнеглубокогої анализа трафика, работает только на канальном и сетевом уровнях модели OSI. Эта технология не анализирует содержимое полезной нагрузки пакета, осуществляется только проверка заголовков пакетов для оптимизации маршрутизации, обнаружения попыток злоупотребления сетью и статистического анализа. SPI реализуется чаще всего в операционной системе компьютера в виде брандмауэра. Такой межсетевой экран может отделять сети друг от друга,
разрешать или запрещать трафик на основании протокола передачи данных. SPI ведет журнал событий,
обеспечивает трансляцию адресов (Network Address Translation, NAT), играет роль конечной точки в VPN,
а в случае проблем блокирует абсолютно весь трафик.
Когда сервер посылает пакет на компьютер абонента, технология SPI анализирует информацию в заголовке, а именно IP-адреса отправителя и получателя, количество пакетов, на которые сообщение разбивается, время жизни пакетов (TTL). Если информация заголовка пакета находится в черном списке,
пакет отбрасывается.
Технология широко распространена, на ее основе работает большинство брандмауэров операционных систем, маршрутизаторов (Access Control List).
Это первая реализация технологии инспектирования трафика. Поскольку SPI работает только на нижних уровнях модели OSI, она менее требовательна к ресурсам, чем другие, за счет чего может обрабатывать большие объемы трафика с высокой скоростью.
Medium Packet Inspection (MPI) технология ѕсреднегої анализа трафика, основывается на анализе сессий и сеансов связи, инициированных приложением, но устанавливаемых шлюзом-посредником. Как правило, название технологии MPI замещается обозначением ѕapplication proxyї (рис.1).
Весь трафик, который проходит через сеть, должен проходить через proxy-устройства, которые обеспечивают выполнение сетевой политики этой сети. Proxy-сервер приложений выступает в качестве посредника между клиентскими компьютерами и сетью Интернет. Другими словами, 5приложение не может установить прямое соединение с сервером, а сервер с приложением, поскольку между ними всегда находится proxy- сервер. Технология MPI позволяет анализировать трафик, не только по заголовкам пакетов (IP-адрес получателя, отправителя, порт получателя, порт отправителя).
3

Рис. 1: Пример использования технологии MPI
Такой подход назвали основанным на транспортных портах (port based) и стали применять в шлюзах безопасности (rewall), получивших большое распространение.
Дальнейшее развитие MPI привело к определению и использованию формата данных, передаваемых в пакете. Использование proxy-сервера приложений позволяет предотвратить получения флеш-файлов или загрузки изображений на сайтах. Технология MPI может приоритезировать пакеты, исследуя команды приложений.
Устройства MPI плохо масштабируемы, поскольку для каждого приложения требуется уникальный шлюз прикладного уровня, и проверка каждого пакета уменьшает скорость, с которой они могут быть доставлены получателю. Учитывая эти недостатки, устройства MPI являются не самым лучшим вариантом для развертывания в больших сетях, где должен контролироваться разнообразный трафик. Это уменьшает их пользу для операторов широкополосного доступа, в сетях которых в каждый момент времени десятки тысяч приложений обмениваются пакетами.
Lightweight Payload Inspection (LPI) технология легкого анализа трафика с использованием для оценке первых байт поля полезной нагрузки (playload) поверх транспортного уровня (или известных протоколов).
Наиболее значимым преимуществом MPI и LPI перед SPI является то, что устройства MPI могут анализировать уровень представления модели OSI и определять аспекты прикладного уровня, поэтому эта технология представляет собой важный шаг на пути к современной технологии Deep Packet Inspection
(DPI).
Deep Packet Inspection (Deep Packet Inspection) технология глубокого анализа пакетов. Технология
DPI возникла из-за необходимости анализировать и управлять передаваемым трафиком. DPI получило свое развитие благодаря стремительному росту вычислительных способностей процессоров и их быстродействию.
В некоторых источниках встречается информация о поколениях DPI-систем. Первое поколение было приспособлено для решения более узких задач и имело только сигнатурный механизм анализа. Второе поколение более универсальные и масштабируемые устройства с новыми механизмами анализа (эвристический и поведенческий), классификацией и управлением потоками. Иногда поколения DPI разделяют, исходя из производительности устройств.
На рис.2 и рис.3 показано сравнение DPI и Firewall. Из рисунков видно, что в отличие от Firewall,
DPI может анализировать пакеты не только на нижних трех уровнях модели OSI (заголовки MAC, IP и
TCP), но и до седьмого уровня включительно.
Из рис.4 видно, что SPI анализирует трафик только на 2 и 3 уровнях модели взаимодействия открытых систем OSI, MPI и LPI со 2 по 6 уровень. А вот DPI, как видно из названия, выполняет глубокий анализ всех проходящих через нее пакетов, вплоть до уровня приложения.
1.2.1 Shallow Packet Inspection
SPI (Shallow Packet Inspection) - технология анализа трафика, основывающаяся на заголовках 1-4
уровней пакета (7 tuples, см. рис.5). Т.е. не анализирует содержимое полезной нагрузки пакета. Технология широко распространена, на ее основе работает большинство брандмауэров операционных систем, маршрутизаторов.
Например. классические Access Control List (ACL). разрешающие или запрещающие передачу пакетов
4

Рис. 2: Сравнение глубины анализа DPI и Firewall
Рис. 3: Сравнение подходов при анализе заголовков технологии DPI и Firewall
Рис. 4: Сравнение технологий анализа трафика по глубине
5

Рис. 5: 7 tuples
Рис. 6: Уровень анализа служебных заголовков и полезной нагрузки в зависимости от заданных правил списка.
Технологии и особенности SPI: журнал событий, трансляция адресов (Network Address Translation,
NAT), конечная точка VPN, блокирует абсолютно весь трафик.
1.2.2 7 tuples
Как было сказано выше для SPI используются заголовки 1-4 уровней модели OSI, это могут быть MAC- адреса отправителя и получателя, IP-адреса отправителя и получателя. тип протокола (TCP/UDP/...),
транспортный порт отправителя и получателя. Представленный в примере набор заголовков в зарубежной литературе получил название 7 tuples. Т.к. за пределами IP-подсети заголовки канального уровня не применимы. так же используется понятие 5 tuples (рис.5).
Поток данных от приложения обычно выделяется из общего трафика с помощью адресной информации
2-4 уровней. Критерии, по которым пакет относят к потоку, называют кортежем (tuple). В кортеж может входить разное число критериев, обычно от 3 до 7 [5, 21] (рис.6).
Изучая сетевые данные с помощью анализаторов трафика (в первую очередь речь конечно о появившемся в 1997 году программном сетевом сниффере и анализаторе Wireshark (Ethereal), разработанном инженером
Комбом Д. ). можно составить следующий список критериев для фильтрации:
€ IP адреса назначения и отправления
€ MAC адреса назначения и отправления
6

Таблица 1: Логические плоскости механизмов QoS.
управление соединением данные контроль качества управление доступом при соединении;
предотвращение перегрузок;
управление буфером;
классификация трафика;
соглашение об уровне обслуживания (SLA);
измерения.
QoS-маршрутизация;
маркировка пакетов;
резервирование ресурсов.
управление характеристиками трафика;
организация и планирование очередей.
€ транспортные порты назначения и отправления
€ длина кадра
€ протокол
€ количество пакетов подлежащих анализу
€ интерфейс ПК анализатора
€ интервал ожидания последующего пакета
€ время начала и конца анализа пакетов
€ полный HEX-код каждого кадра
€ количество собранных пакетов в соответствии с фильтром
€ график распределения задержки пакетов (jitter-histogramm)
1.2.3 Дифференцированное обслуживание (DiServ)
Стоит помнить о следующих основных рекомендациях ITU-T регулирующих QoS:
€ E.800 - Термины качества обслуживания (QoS) и управлении им.
€ G.1000 - Определение качества услуг связи, в различных структурах.
€ Y.1540 - Параметры скорости, точности, надежности и доступности передачи IP-пакетов к сквозным
IP-услугам и IP-услугам типа ѕточкаточкаї
€ Y.1541 - Классы QoS для SLA (рис.7)
Изначально в стандартах были заложены механизмы маркировки трафика для его дальнейшей дифференцированной обработки на сетевом [15, 4, 16] и канальном [2] уровнях для поддержания соответствующего QoS. Само дифференцированное обслуживание (dierentiated service, DiServ) описывается в RFC-2475 [3] и RFC-
2474 [14] и предполагает разделение трафика на классы на основе требований к качеству обслуживания.
DiServ состоит из управления формированием трафика (классификация пакетов, маркировка, управление интенсивностью) и управления политикой (распределение ресурсов, политика отбрасывания пакетов).
Помимо дифференцированного обслуживания (в случаях когда оно не требуется) применяются следующие модели передачи данных: негарантированная доставка данных, без определенных параметров QoS (best eort service) и интегрированные услуги, с предварительным резервированием ресурсов сети (integrated services, RFC-1633) [4]. Integrated services подразумевает использование протокола резервирования ресурсов
RSVP (resourse reservation protocol).
В рекомендации ITU-T Y.1540 [6] указаны сетевые характеристики, влияющие на качество обслуживания,
а в Y.1541 [7] для параметров QoS определены численные значения норм (верхние допустимые значения),
которые должны выполняться в сетях IP при международных соединениях. Эти нормы разделены по классам QoS, которые определены в зависимости от приложений и сетевых механизмов, применяемых для обеспечения гарантированного качества обслуживания. Набор механизмов QoS можно разделить на три логические плоскости: управления, данных и менеджмента - их функции показаны в таблице 1.
На рис.8 показано размещение поля ToS в заголовке IP-пакета и его изначальное кодирование согласно
RFC-791. Последующие рекомендации поменяли способы кодирования данного байта, что показаано на рис.9.
Важную роль в QoS играют правила обработки очередей:
7

Рис. 7: Технологии обработки трафика
Рис. 8: Type of Service
8

Рис. 9: Классические методы маркировки
€ FIFO (First In, First Out) первый пришел первый ушел;
€ WFQ (Weighted Fair Queuing) механизм взвешенной справедливой буферизации ограниченная пр. сп. на выходе узла между потоками;
€ CBQ (Class-Based Queuing) механизм классификации потоков по классу обслуживания в разных очередях. Каждой очереди выделяется доля пр. сп.
€ CBWFQ (Class-Based Weighted Fair Queuing) справедливое, взвешенное управление очередями на основе классов классы по критериям, (ACL, входящий интерфейс, протокол и др.)
€ LLQ (Low-Latency Queuing) разновидность механизма CBWFQ - выделенная очередь для чувствительного к задержке, такого как голос или видео;
Управление характеристиками трафика (Trac shaping, Trac policing) позволяет контролировать скорости и объјм поступающих потоков, как показано на рис.10.
Как ранее было показано на рис.9 для обеспечения QoS применяется технология VLAN. На рис.11 и рис.12 показаны различные модели применения VLAN. На рис.11 представлен сервисный VLAN (S-VLAN)
- каждая услуга находится в своем VLAN.
На рис.12 представлен клиентский VLAN (С-VLAN) - каждый абонент находится в своем VLAN
Способы организации VLAN: на основе портов; на основе MAC-адресов; на основе протоколов сетевого уровня. Обеспечения QoS: классификация трафика; маркирование трафика; управление очередями; резервирование и профилирование.
Как ранее было показано на рис.9 для обеспечения QoS применяется технология MPLS (Multiprotocol
Label Switching) многопротокольная коммутация по меткам.
1.2.4 Методы маркировки пакетов
Маркировка и передача метаданных о потоке может применяться и для обозначения пакетов, принадлежащих к определенному потоку трафика или группе потоков определенного класса, для последующей обработки сетевыми устройствами того же или уже другого оператора связи.
Наиболее распространенными методами маркировки пакетов являются представленные на рис.14:
DiServ, MPLS, VLAN, PBB (Provider Backbone Bridges (IEEE 802.1ah)), NSH (Network Service Header),
Cisco vPath, OpenFlow, FlowTags.
Технологии первой и второй групп можно использовать как в IP-сетях, так и в программно-определяемых сетях (SDN, Software Dened Network).
9

Рис. 10: Управление трафиком
Рис. 11: Сервисный VLAN
Рис. 12: Клиентский VLAN
10

Рис. 13: Применение технологии MPLS
Рис. 14: Технологии маркировки трафика
11

Таблица 2: Анализ результатов исследования алгоритма Portload