Глибокий аналіз пакетів (DPI) як інструмент керування трафіком

Поділіться у соцмережах:

Скандальний закон № 149–ФЗ наробив багато галасу в українському сегменті Інтернету та змусив українських провайдерів купувати DPI системи. У нашій країні ще немає подібного закону, і Інтернет регламентується не так жорстко, але оскільки політика нашої держави повторює сусідську з точністю до 99% — незабаром варто очікувати припасування нашої законодавчої бази під ті самі стандарти. Крім того, панікуюча світова спільнота, в особі Міжнародного союзу електрозв'язку, теж вирішила піти шляхом контролю за трафіком і внесла відповідні поправки до свого законодавства, зробивши DPI стандартом для провайдерів. Але все не так страшно і погано, як могло б здатися. Можна навіть сказати, що це на руку провайдерам — адже крім такого привабливого для уряду контролю інформації, DPI пристрої дозволять самим провайдерам якщо не зменшувати, то хоча б контролювати і управляти апетитами користувачів, що зростають, що, погодьтеся, дуже приємна перспектива.

Що робити?

Для контролю використання трафіку користувачами зараз практикується кілька основних підходів:

1. Обмеження щомісячного обсягу трафіку. Таке рішення малопривабливе для користувача і тому не популярне. Використовується такий метод в основному для надання послуг найдорожчого мобільного Інтернету. Провайдер може обмежити трафік в добровільно-примусовому порядку — не позбавляючи користувача послуги, що вибрав свій ліміт, зовсім, а просто знижуючи швидкість до критичного мінімуму. Але це не вирішує проблеми з пропускною спроможністю доти, доки користувачі не використовували свій ліміт.

2. Обмеження смуги пропускання. Цей варіант зараз найпоширеніший, але, на жаль,малоефективний: занадто сильне обмеження викличе відтік клієнтів, а мале не вирішить проблеми.

Такі підходи сьогодні не задовольняють ні користувачів, ні провайдерів. Єдиним логічним виходом їхньої ситуації є контроль лише на рівні додатків, у разі якого лімітується не сам трафік чи його обсяги, а контролюється його використання. І це допомагає DPI аналіз.

Як це працює?

Розглянемо це на прикладі рішення для провайдерів компанії Allot.

аналіз

NetEnforcer проводить моніторинг у реальному часі. Пропускна здатність таких пристроїв може досягати від 1 Гб/с до 1 Tб/с та спостерігати за сотнями мільйонів одночасних IP потоків. А якщо такий пристрій працює в парі, то продуктивність і стійкість до відмови зростає в рази. Навіть найпотужніший firewall не здатний обробити таку кількість інформації, хоча б тому, що цей клас пристроїв має інший принцип роботи. Крім того, управляти ними буде, м'яко кажучи, непросто.

Він працює в парі з AllotSubscriberManagementPlatform (SMP), який дозволяє в онлайн та офлайн режимі керувати тарифними планами та політиками.

аналіз

Оброблений DART та SMP трафік направляється до передплатника.

Це рішення також дозволяє підвищити рівень безпеки в мережі: фільтрація URL, робота зі списками заборонених або внесених до чорного списку сайтів на рівні всієї мережі. Визначення DNS блеклістингу допомагає уникнути DDoS атак, а також ізолювати інфіковані хости ботнета цілком, що особливо важливо для клієнтів рівня хостинг-провайдера.

Відмовостійкість системи забезпечується зовнішнім апаратним забезпеченням.

Результати моніторингу надходять на керуючий сервер NetXplorer, який дозволяє працювати зчисленними докладними звітами. Десятки різних звітів дозволяють проводити аналіз як на рівні всієї мережі, так і для кожного передплатника окремо за тарифними планами, додатками або пристроями. Звіт може бути наданий щодо ситуації на даний момент або за подіями за певний період. Розглянемо приклади:

пакетів

Звіт показує загальну статистику трафіку: вхідного, вихідного, кількість з'єднань, навіть кількість скинутих з'єднань (якщо скидання/відмова з'єднань були передбачені політикою.). Такі звіти корисні для глобального аналізу пропускної спроможності мережі і важливі для визначення вторгнень (збільшення кількості з'єднань у звіті показує DDoS атаку в самому розпалі).

Деталізація такого звіту може бути різною: за хостами, передплатниками, внутрішніми хостами, популярністю протоколів. Можна переглянути вхідну/вихідну смугу пропускання, вхідні/вихідні пакети, активні, нові, скинуті з'єднання.

пакетів

Цей звіт допомагає розглянути смугу пропускання, використану передплатниками для різних програм. Наприклад, у цьому звіті ми бачимо, що 69 передплатників використовують сервіс MegaUpload із середньою швидкістю 160 Кбіт/с.

пакетів

Цей звіт розбиває трафік на протоколи. Допомагає зрозуміти, який додаток використовує найбільшу кількість трафіку в рамках лінка або хоста. Наприклад, тут ми бачимо, що Skype та BitTorrent від'їдають левову частку трафіку. Провайдер може обмежити дані протоколи за швидкістю, для оптимізації доступу до інших програм.

аналіз

Такий звіт є цікавим для мобільних провайдерів. Дозволяє дізнатися, який мобільний пристрій і як генерує трафік за обраними протоколами. Це допомагає не тільки контролювати смугу пропускання данихпротоколів, але може також допомогти в маркетингу і дозволить отримати додатковий прибуток від використання своїх сервісів і додатків. Наприклад, рекомендувати дивитися фільми або слухати музику зі своїх сховищ, користуватися своїми браузерами, заточеними під пристрій та провайдера.

Це лише кілька прикладів звітів. Система генерує їх десятки, з урахуванням потреб та запитів.

Перспективи

Таких варіантів — безліч. Звичайно, це все досить віддалена, але цілком очевидна для нашої країни та світу загалом перспектива. І завдяки DPI аналізу вона стала набагато реальнішою.

Скласти власну думку

Якщо Ви оператор або інтернет-провайдер, і вже задумалися про покупку DPI пристрою, але поки що читаєте статті в різних журналах, прикидаючи, чи вкладетеся Ви в бюджет з цього обладнання, то, можливо, вас зацікавить можливість протестувати описане вище обладнання.

Компанія «ServiceConsultingGroup» на честь свого десятирічного ювілею пропонує унікальну можливість – абсолютно безкоштовно протестувати обладнання Allot, найбільшого розробника технологій DPI, і скласти власну думку про перспективи, що відкриваються.

Компанія ServiceConsultingGroup існує з 2003 року і за десятиліття роботи встигла зарекомендувати себе з виключно позитивного боку. Наш досвід системної інтеграції дозволяє братися за реалізацію проекту будь-якого типу складності та завжди бути впевненими у його успіху. Фахівці компанії з радістю дадуть відповідь на будь-які питання, що додатково виникли, пов'язані з DPI системами.