Файл: Конспект лекций методы инспекции пакетов и анализа трафика (наименование дисциплины) СанктПетербург 2021 1.pdf

Рис. 16: Концепция DPI-PEF
Таблица 3: Рекомендации ITU-T по DPI
Год
Номер
Суть
2012 Y.2770
Требования к DPI в NGN
2014 Y.2771
Структура DPI
2016 Y.2772
Механизмы элементов сети с поддержкой DPI
2017 Y.2773
Модели и показатели производительности DPI
2019 Y.2774
Функциональные требования DPI в будущих сетях
2019 Y.2775 Функциональная архитектура DPI в будущих сетях анализ, классификацию, контроль и модификацию сетевых пакетов в зависимости от их содержимого в реальном времени. DPI анализируе не только заголовки пакетов. но и полное содержимое трафика включая пользовательские данные. Т.е. анализ проводится на всех 7 уровнях модели OSI.
DPI анализирует первые пакеты потока трафика или все проходящие через нее пакеты. При этом применяется сигнатурный анализ, статистические методы слежения за характеристиками пакетов, поведенческий анализ и другие подходы.
Сигнатурный анализ пакетов подразумевает применение стандартных паттернов, по которым можно однозначно определить принадлежность па- кета определенному приложению. Например, по формату заголовков, номерам портов и т. п.
Кроме того, применяется поведенческий анализ трафика, который позволяет распознать приложения,
не использующие для обмена данными заранее известные заголовки и структуры данных. Яркий пример тому BitTorrent. Для их идентификации осуществляется анализ последователь- ности пакетов, принадлежащих к одному потоку.
Поведенческий анализ изучает следующие параметры пакетов, при- надлежащих одному потоку: транспортные порты отправителя и получателя, размер пакета, частоту открытия новых сессий в единицу времени и т. д. Существует множество поведенческих моделей соответствующих прото- колов и приложений, а их точность детектирования различается.
Особенно DPI актуален для выявления приложений, использующих закрытые проприетарные протоколы с гибким выбором транспортных портов и встроенными механизмами преодоления NAPT (Network Address
Port Translation). Для их определения нельзя ограничиться но- мером протокола в заголовке IP и номерами портов в заголовке прото- кола транспортного уровня.
В 2012 г. Международным союзом электросвязи (International Tele- communication Union, ITU) был официально утвержден стандарт Y.2770 Requirements for deep packet inspection in Next Generation Networks
(Рекомендации для глубокого пакетного анализа в сетях следующего поколения)[8]. В данной рекомендации определяются требования к объектам углубленной проверки пакетов (DPI) и описываются такие аспекты,
как идентификация приложений, идентификация потоков, типы проверяемого трафика, управ- ление сигнатурами, представление отчетов системе управления сетью (NMS, Network Management System) и взаимодействие с функциональным объектом принятия решения в соответствии с политикой сети. В
течении следующих лет появляется целая серия рекомендаций по DPI [9, 10, 11, 12, 13], подробнее о них будет рассказано далее. В Y.2771[9] приводится ряд необходимых для DPI функций. представленных на рис.16.
13

Рис. 17: Концепция DPI-PEF
Рис. 18: Показатели производительности систем DPI согласно Y.2773 14

Рис. 19: Сценарий в Rel6
Системы DPI имеют ряд проблемных вопросов. Например, к ним относятся сложности анализа зашифрованного трафика, вопросы о сетевом нейтралитете и конфиденциальности передаваемых данных, в случае если они проходят анализ системами DPI.
DPI-системы не способны расшифровать данные. Но они могут проанализировав, идентифицировать и классифицировать эти данные, основываясь на эвристической информации или поведенческом анализе.
Например, DPI находит зашифрованный трафик BitTorrent, но не удается определить, какой именно передается файл.
Возможность приоритизации одних и блокировки других потоков трафика (или трафика к конкретным услугам) может ущемлять права абонентов. А компании, предоставляющие контент, не хотели бы отдельно оплачивать высокоскоростной доступ пользователей к их серверам.
Эти вопросы будут упомянуты далее в четвертом разделе конспекта.
1.3 DPI в СПС
Еще до появления описания технологии DPI, в архитектуре сетей подвижной связи (СПС) необходимо было решать задачи контроля пропуска трафика данных абонентов и его тарификации. Для этого посредством протокола DIAMETER в 2005 году в 3GPP Release 6 (ETSI TS 129 211) была описана передача информации о применяемых к предоставляемому каналу правилах работы с ним (рис.19).
В стандартизирующих документах 3GPP Release 7 появилось описание функций обеспечения политики и взимания платы (PCEF, policy and charging enforcement function) и PCRF, в будущем использованных как часть архитектуры DPI. Исследование механизмов аутентификации, авторизации и учета в СПС за
15

Рис. 20: PCRF в Rel7
несколько лет до появления Y.2770 было проведено в [96].
В СПС анализ пакетов на 2-4 уровнях модели OSI, туннелирование GTP, подсчет трафика и его тарификация проводятся в шлюзе доступа в IP сеть GCSN/GGSN (GPRS gateway service node) [29]. GCSN
запрашивает квоту для абонента у биллинговой системы на основе сообщений Diameter и политики у
PCRF. Сервера биллинга осуществляют тарификацию услуг по интерфейсу Gy. Что проиллюстрировано в [28]. В терминологии 3GPP устройство пропускающее данные пользователя, запрашивающее квоту и осуществляющее тарификационную логику называется PCEF. Функция PCEF может быть реализована на оборудовании GCSN, PDN GW или DPI. Однако GCSN и PDN GW не оснащены анализом трафика на уровне приложений. Упростить ввод нового тарифного плана позволяет размещение его логики сразу в PCEF [27, 29]. При последующем появлении технологии DPI, включающей в себя PCRF, потребовалась интеграция системы глубокой инспекции пакетов в архитектуру сетей подвижной связи.
Подробнее о использовании DPI систем в СПС описано в [28, 27, 29]. Непосредственное отличие между фиксированными и мобильными сетями при применении системы DPI состоит в том, что для мобильного
DPI нужно предоставить динамическое выделение IP-адресов для абонентов и есть необходимость в онлайн-тарификации и предоставлении пакетов услуг. А для фиксированной сети трафик, как правило,
безлимитный и DPI выполняет функции оптимизации полосы, ограничения трафика некоторых приложений
(например, торрентов) и защиты от DDoS.
Что касается средней задержки IP-пакетов, то можно сказать, что еј величина для мобильной и фиксированной сети будет разной. Это объяснимо тем, что для мобильной сети помимо запроса политики у
PCRF-сервера также необходимо произвести сопоставление IP-адреса абонента и международного идентификатора мобильного абонента (IMSI, international mobile subscriber identity). В свою очередь для фиксированной сети достаточно определения политики у PCRF-сервера.
Функции DPI в архитектуре 3GPP Release 15 представлены на рис.23.
Функция обнаружения трафика (TDF, trac detection function) функциональный элемент сетей связи, согласно 3GPP, который определяет трафик конкретных приложений и уведомляет о наличие такого трафика сервер PCRF. В зависимости от полученных PCRF правил, TDF осуществляет пропуск данного трафика абоненту, перенаправление и ограничение скорости. Иногда в СПС из состава Back-End выделяют сервер SPR (subscriber prole repository) базу данных профилей абонентов, для хранения персонализированных политик (для конкретных абонентов). PCRF на основе идентификатора абонента обращается к SPR, определяет назначенную политику и сообщает ее DPI. В результате без SPR, Back-
End хранит только собранную статистику и трафик абонентов. PCEF (Policy and Charging Enforcement
Function), применяет правила политик, полученные от PCRF, к проходящему через него трафику. PCEF
16

Рис. 21: PCRF в Rel7
Рис. 22: Архитектура IMS
17

Рис. 23: Функции DPI в архитектуре 3GPP Rel15
осуществляет тарификацию этого трафика в системе тарификации оператора связи. PCEF взаимодействует с PCRF по интерфейсу Gx (используется протокол DIAMETER). Gx-интерфейс используется для передачи нотификации о событиях из PCEF на PCRF и управления правилами политик на PCEF. Поэтому интерфейсу
PCEF передает на PCRF информацию, необходимую для принятия решений (контроль QoS и управление тарификацией).
Gx-интерфейс - PCEF передает на PCRF информацию:
€ идентификатор абонента,
€ информацию о местоположении
€ часовом поясе, в котором находится абонент,
€ IP-адрес устройства, с которого осуществляется доступ,
€ параметры канала и др.
Таким образом, сервера PCEF и TDF используются системой DPI, когда она используется в СПС
согласно 3GPP. DPI является сложной системой, как по определению трафика, так и по применению политик.
Применяются следующие типы включения DPI:
€ зеркалирование
€ ѕв разрывї
€ bypass
Зеркалирование (mirroring) дублирует весь сетевой поток канала: первая копия идет непосредственно в сеть, вторая отправляется на вход системы анализа.
При такой схеме, в отсутствие обратной связи от системы анализа, может выполняться только пассивный анализ, т. е. система не может влиять на трафик, попадающий в сеть (например, путем фильтрации или приоретезации).
Подключение ѕв разрывї, когда весь поток направляется на систему, которая становится посредником во всех взаимодействиях WAN и LAN. Такое подключение вносит дополнительные риски при выходе системы анализа из строя, в результате поломки целенаправленной сетевой атакилокальная сеть остается без связи с глобальной.
18

Рис. 24: Пример размещения DPI на СПС
19

Рис. 25: Пример размещения DPI на СПС
Bypass является гибридным подходом между зеркалированием и подключением ѕв разрывї решает проблему выхода из строя системы анализа. В нормальных условиях система работает в режиме подключения
ѕв разрывї, однако при ее выходе из строя или получении от нее соответствующего сигнала соединение с LAN выполняется напрямую. В настоящее время такой вид подключения наиболее распространен для решений, которым требуется активный анализ, т. е. возможность изменять содержимое передаваемого трафика в соответствии с некоторыми политиками (блокировать запрашиваемые ресурсы, ограничивать скорость и т. д.).
Например, высокопроизводительный коммутатор направляет трафик на аппаратный фильтр, а в случае отказа DPI системы пропускает трафик напрямую без обработки. Комбинированные режим позволяет использовать зеркалирование трафика на аппаратном фильтре для анализа.
На рис.26 представлен пример классификации систем DPI.
20

Рис. 26: Классификация DPI
21

2 Принципы работы DPI, применение и возможности
2.1 История внедрения в РФ
Внедрение систем DPI в России - 2004 г. компания RGRCom (дистрибьютор DPI Allot, PeerApp и
OverSi) впервые поставила систему DPI для ТТК. Широкое распространение DPI началось в конце 2000- х годов. Силами Inline Telecom, Allot, Cisco, Procera, Juniper, Huawei и отечественных Traca и НТЦ
Протей системы DPI были внедрены в сетях большой тройки, Ростелекома и др.
К этому времени объем трафика, приходящегося на P2P протоколы (например, Skype и bit-torrent), в том числе для аудио- и видеофайлообмена, достигал уже порядка 80 % от всего трафика.
Установка DPI решений в сетях подвижной связи и Ростелекома - 2012 г.
Тригеррами процесса внедрения систем DPI являются:
€ бурное распространение USB-модемов,
€ ФЗ-139.
Существует история о том, что кипрская компания iMarker с 2010 г. предлагает интернет-провайдерам бесплатную установку систем DPI (Gigamon, Xterica) с последующей таргетированной рекламой. Система поведенческого таргетинга (BT) получает информацию обо всех сайтах, посещаемых пользователями, и на основе этого может предложить им персонализированную рекламу. Она применяется у 11 операторов,
включая филиалы Ростелекома.
Технология DPI используется в решениях СОРМ в Китае и странах Ближнего Востока (Cisco, Verint,
Narus, НТЦ Протей, Verso Technologies), а также в России (НТЦ Протей, Малвин, МФИ-Софт)
€ Летом 2014 г. МГТС внедрила DPI от Procera Networks, предоставив абонентам услуги по детализации трафика и персональному черному списку web-страниц.
€ Yota внедряет комплекс динамического управления трафиком на основе DPI (Procera) с целью не допустить критических перегрузок на сети путем превентивных мер по оптимизации трафика в С.-
Петербурге, Москве, Сочи, Самаре, Краснодаре, Владивостоке и Новосибирске. На сети соблюдался принцип приоритета интерактивных услуг и обеспечения стабильности работы остальных приложений при любых изменениях интенсивности трафика. В результате удалось отказаться от постоянного расширения внешних каналов связи, повысить емкость сети и снизить капитальные затраты.
2.2 Обобщенная архитектура DPI
Выделение из трафика определенных потоков, применение к ним глубокой инспекции пакетов (анализа)
для выявления их назначения, возможности по предоставлению статистики, модификации трафика, контроля над трафиком посредством применения политик в общих чертах описывают основы концепции работы систем DPI (рис.27).
Как было упомянуто в предыдущем разделе, применяются следующие типы включения DPI: зеркалирование,
в разрыв и bypass. Зеркалирование (mirroring) дублирует весь сетевой поток канала: первая копия идет непосредственно в сеть, вторая отправляется на вход системы анализа. Подключение ѕв разрывї, когда весь поток направляется на систему, которая становится посредником во всех взаимодействиях WAN
и LAN. Bypass является гибридным подходом между зеркалированием и подключением ѕв разрывї
решает проблему выхода из строя системы анализа. В нормальных условиях система работает в режиме подключения ѕв разрывї, однако при ее выходе из строя или получении от нее соответствующего сигнала соединение с LAN выполняется напрямую.
Как уже говорилось ранее функции системы DPI были стандратизированы в ITU-T Y.2772[10] и представлены на рис.17 и рис.28. Важную роль в функции сканирования и последующем анализе играет выделение из общего трафика потоков пакетов сформированных различными приложениями, применяющее понятие 5-7 tuples (рис.5).
В соответствии с функциями, можно определить архитектуру системы DPI показанную на рис.29.
Hardware lter (Scan and execution), аппаратный фильтр обеспечивает базовые функции обработки трафика: применение политики (блокировка или пропуск), сбор статистики, управление пропускной способностью.
Процессинговые платы отвечают за взаимодействие между компонентами системы, а так же за функции контроля (выполнение действий над трафиком).
Analyser (Front-End) - помимо линейных плат приема трафика содержит платы управления проводящие интеллектуальный анализ трафика и передает назначенную PCRF и полученную из Back-End политику для выполнения на аппаратном фильтре. Front-End центр обработки информации DPI в соответствии с настроенными/имеющимися политиками, и содержит сигнатуры. По сути это модульный центр обработки информации.
22

Рис. 27: Концепт DPI
Рис. 28: Функции DPI
23

Рис. 29: Архитектура DPI
€ Вычислительные модули - это модули, построенные на многопроцессорной архитектуре, отвечающие за обработку информации. Выполняют функции инспекции всего проходящего трафика (инкапсуляция/деинкапсуляция,
анализ, классификация и т. д). DPI обычно имеет два вычислительных модуля, основной и резервный
(поддерживается горячее переключение).
€ Линейные платы пријма-передачи трафика - коммутационные платы отвечают за передачу данных между линейными платами и остальными компонентами DPI системы.
€ Процессинговые платы отвечают за взаимодействие между компонентами системы, а так же за функции контроля (выполнение действий над трафиком).