Введення в DPI: Сценарії використання системи

Вчора ми почали розглядати базові елементи DPI і поговорили про складі системи та схемах підключення. Сьогодні ми вирішили поглянути на реальні варіанти використання DPI і поговорити про технічних сценарії, які дозволяють операторам забезпечувати високу якість послуг.


/ Flickr / Yuri Samoilov / CC

1. Аналіз і класифікація трафіку
Завдання системи DPI – класифікувати та створювати в реальному часі звіти про споживання трафіку додатком, використовуючи набори сигнатур і поведінкові методи. Отримання такої інформації за класами трафіка кожного абонента дозволяє тарифікувати його окремо, наприклад, для Skype, Viber і ін. Також системи DPI дозволяють стежити за станом мережі на рівнях 2-7 моделі OSI і захищати її від перевантаження.

2. Пріоритизація трафіку
Найпопулярнішим прикладом необхідності розподілу пріоритетів трафіку є p2p-протокол. Коли користувач завантажує файли з цього протоколу, знижується якість роботи всіх інших – VOIP, HTTP та ін. – це призводить до повільного відкривання сторінок, поганої якості голосу при дзвінках, підгальмовуванню відео. DPI-системи дозволяють вирішити цю проблему простим зниженням пріоритету p2p-трафіку.


На графіку видно, як зі зменшенням неконтрольованого трафіку torrent, збільшилася швидкість роботи HTTP

Ще одним простим прикладом необхідності пріоритизації є набирають популярність онлайн-кінотеатри. При збільшенні якості відео (720p, 1080p, 4K) зростає навантаження на канал оператора.

Наприклад, у березні 2015 в Австралії трафік сервісу Netflix становив 25% від загального трафіку провайдера iiNet через 4 тижні після запуску. У цьому ключі активне управління трафіком і гнучка настройка пріоритетів дозволяють забезпечити гідну роботу інших чутливих сервісів, злегка знижуючи якість відео в критичні моменти.

3. Оптимізація аплінк
Оператор здатний забезпечити висока якість двома шляхами: збільшивши ширину каналу або оптимізувавши трафік. Сплески зростання трафіку передбачувані, що відбуваються в певні дні тижня зазвичай тривають не більше декількох годин.

У зв'язку з цим збільшувати ширину каналу може бути невигідно – занадто маленьке «вікно» активності. Однак якщо залишити все як є, то годинник підвищеної завантаженості абоненти будуть стикатися з повільною завантаження сторінок і миритися з поганою голосовим зв'язком.

Близько 50% вечірнього трафіку становить torrent, 20% – відео, 30% – все інше. Якщо виділити перший тип трафіку і зменшити його пріоритет, то інші протоколи будуть працювати так само, як і в будь який інший час. Необхідність у збільшенні пропускної здатності каналу відпаде сама собою.

4. Кешування
В інтернеті є інформація, яку знаходять цікавою і скачують відразу безліч користувачів. Кеш-сервер дозволяє поширювати її безпосередньо між користувачами. Це економить інтернет-трафік і збільшує швидкість доступу до інформації, так як швидкість доступу до кешу дорівнює швидкості локальної мережі, а не швидкості доступу до інтернету.

Наприклад, кеш-сервер для нашого рішення СКАТ DPI дозволяє кешувати відеоконтент популярних сервісів, таких як YouTube, RuTube і vk.com оновлення Windows, браузерів, антивірусів та іншого ПЗ, а також часто повторюють файли (наприклад, бібліотеки jquery, картинки і т. п.).

5. Поведінкова оцінка абонентів
Кожен користувач виходить в інтернет на певний час, користується одним з браузерів, сидить у соціальних мережах, дивиться комедії або жахи. Система DPI здатна зібрати всю цю інформацію (не порушуючи особистих прав абонента) і показати її в наочному вигляді оператору. Знаючи бажаний користувачем контент, оператор отримує можливість настроїти йому пріоритет трафіку. Більш того, найбільш відвідувані ресурси також можна кешувати.

6. Повідомлення абонентів
Ця функція дозволяє оператору передавати абоненту повідомлення під час роботи останнього в інтернеті. Коли користувач вводить адресу сайту, він спершу бачить у браузері повідомлення від оператора, яке змінюється запитуваної сторінки через кілька секунд.

Це повідомлення може містити саму різну інформацію: про зміну тарифу, про час технічних робіт, про спеціальні пропозиції. Такий спосіб оповіщення охоплює дуже широку аудиторію – в Росії 73% громадян у віці від 18 років і старше користуються інтернетом, з них 47% опитаних роблять це щодня. У Європі ця цифра становить 60%.

7. Захист, перехоплення трафіку
DPI пропускає через себе і фільтрує весь трафік, тому має можливість захищати абонентів від спам-ботів (виявляються на основі аналізу SMTP трафіку), DoS — та DDoS-атак (виявляються за аномалій трафіку), зараження черв'яками (виявляється за сигнатурами) і спаму (з надмірно великим число SMTP).

При захисту від DDoS-атак часто застосовуються різні поведінкові стратегії, виявляють відхилення в поведінці користувачів мережі. DPI-системи спрощують цю задачу за допомогою ефективного підходу – тесту Тьюринга (сторінки з CAPTCHA), який дозволяє визначити, людина чи комп'ютер здійснює запит до ресурсу.



Також система DPI захищає від атак TCP SYN Flood і Fragmented UDP Flood. Атака SYN Flood викликає підвищений витрата ресурсів атакується системи. На кожний вхідний SYN-пакет система резервує певні ресурси в пам'яті. Якщо «бомбити» її великою кількістю пакетів в секунду, не відправляючи пакет ACK, вона стає недоступною. DPI виявляє перевищення порогу SYN-пакет і починає відповідати на них самостійно, не турбуючи» сайт.

Що стосується атаки Fragmented UDP Flood, то вона здійснюється фрагментованими UDP пакетами, на складання і аналіз яких атакується платформа змушена витрачати багато ресурсів. DPI відкидає неактуальні для захищеного сайту протоколи або обмежує їх по смузі пропускання (для веб-сайту залишаються тільки протоколи HTTP і HTTPS).

Варто відзначити, що DPI вміє працювати у зв'язці з різними ДВО, такими як антиспам, антивірус, видеооптимизаторы і т. д. Суть рішення полягає у відведенні частини трафіку, що підпадає під задані адміністратором критерії, на сторонні пристрої, для здійснення більш глибокого аналізу і обробки.

Таким чином, комплекси глибокого аналізу трафіку дозволяють вирішити відразу кілька важливих завдань: від оптимізації пропускної здатності аплінк та пріоритизації трафіку до оцінки поведінкової абонентів і захисту мереж і сайтів від різного роду атак.

У наступних матеріалах ми плануємо розглянути, на якому обладнанні можна реалізувати всі ці функції, і проведемо порівняння рішень виробників систем DPI.

P. S. Ми в VAS Experts спеціалізуємося на створенні та впровадженні сервісів в області контролю і аналізу інтернет-трафіку. У нашому блозі ми будемо ділитися власним досвідом роботи і розповідати про те, як влаштовані ті чи інші технології, що мають відношення до нашої сфері діяльності.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.