CC BY
97
ПРОГРАММНАЯ РЕАЛИЗАЦИЯ СИСТЕМ ГЛУБОКОЙ ПРОВЕРКИ ПАКЕТОВ Кошепаров Д.Я. Email: Kosheparov690@scientifictext.ru
Кошепаров Дмитрий Яковлевич - студент, кафедра мультимедийных сетей и услуг связи, Московский технический университет связи и информатики, г. Москва
Аннотация: данная статья посвящена программной реализации систем глубокой проверки пакетов. Рассмотрено понятие глубокой проверки пакетов. Описаны функциональные возможности проверки пакетов. Рассмотрены понятия аппаратной и программной реализации систем глубокой проверки пакетов, преимущества и недостатки обоих видов реализаций. Произведён обзор программной реализации системы в общем: приведены основные используемые методы классификации трафика, приведены используемые для классификации алгоритмы, рассмотрены архитектурные решения и примеры требований к оборудованию. Ключевые слова: DPI, классификация трафика, анализ трафика.
SOFTWARE IMPLEMENTATION OF DEEP PACKET INSPECTION SYSTEMS Kosheparov D.Ya.
Kosheparov Dmitriy Yakovlevich - Student, DEPARTMENT OF MULTIMEDIA NETWORKS AND COMMUNICATION SERVICES, MOSCOW TECHNICAL UNIVERSITY OF COMMUNICATIONS AND INFORMATICS, MOSCOW
Abstract: this article is devoted to the software implementation of deep packet inspection systems. The concept of deep packet inspection is considered. The functionality of packet inspection is described. The concepts of hardware and software implementation of deep packet inspection systems, the advantages and disadvantages of both types of implementations are considered. A review of the software implementation of the system in general is carried out: the main used methods of traffic classification are considered, the algorithms used for classification are given, architectural solutions and examples of equipment requirements are considered. Keywords: DPI, traffic classification, traffic analysis.
УДК 004.62
Под анализом сетевого трафика принято понимать технологии и их реализации по накоплению, обработке, классификации, контролю и модификации пакетов в зависимости от их содержимого в реальном времени. Одной из технологий анализа сетевого трафика является DPI.
DPI (Deep Packet Inspection, углублённая проверка пакетов) - это технология накопления статистических данных о потоках и проверки и фильтрации сетевых пакетов по полному их содержимому, а также последующих действий: модификации и перенаправления сетевых пакетов. При этом решение, принимаемое системой DPI, может основываться не только на прямом анализе содержимого пакетов, но и с помощью таких методов, как проверка на соответствие заранее определённым правилам, анализ сигнатур, анализ поведения, статистический анализ. Классификация проанализированных потоков может осуществляться как по типу приложения, так и по типу конкретного протокола прикладного уровня модели OSI или, в отдельных случаях, по конкретному приложению. [1]
Основные функциональные возможности систем глубокой проверки пакетов являются следующими:
• Детектирование трафика уровня приложений на основе сигнатурного и статистического анализа, включая приложения P2P, IM, Voice/Video поверх IP, потоковое видео, игровой трафик, шифрованные данные.
• Фильтрация трафика по черным и белым спискам сайтов и категорий сайтов.
• Наличие библиотеки сигнатур и возможность её пополнения.
• Тарификация трафика в реальном времени, контроль
потребления.
• Применение правил тарификации и политики обслуживания в зависимости от ряда параметров (дата и время суток, местоположение, модель устройства, наличие подключенных пакетов, текущей загрузки сети и т.д.).
• Составление отчётов и статистики на основе анализируемых данных.
• Возможность информирования и оповещения абонентов о тарифах, квотах и условиях обслуживания [2].
По способу реализации можно разделить системы DPI на две группы: 1) аппаратные (hardware) - системы, поставляемые производителем в виде оборудования. Могут представлять собой как отдельное оборудование под управлением специализированной операционной системы, так и сетевое оборудование с интегрированной системой DPI.
2) программные (software) - представляют собой программные продукты, которые либо запускаются на выделенном сервере, либо входят в состав операционной системы сетевого оборудования.
Каждый из способов реализации имеет как свои достоинства, так и недостатки.
Аппаратно реализованные системы DPI отличаются высокой возможностью масштабирования, высокой пропускной способностью и скоростью обработки пакетов, а также возможностью выполнения нескольких ролей в системе оператора связи. Недостатком таких систем является их высокая стоимость.
Программные средства DPI отличаются более низкой стоимостью по сравнению с аппаратными, а также в большинстве случаев не привязаны к конкретной аппаратной платформе, что позволяет использовать их в существующей инфраструктуре, не прибегая к приобретению дополнительного аппаратного обеспечения. Основным недостатком таких систем является их более узкая специализация и невозможность исполнения ряда функции аппаратно реализованных систем.
С точки зрения реализации, основной компонент любого решения DPI - модуль классификации, отвечающий за классификацию сетевых потоков. Необходимо заметить, что это не зависит от способа реализации - и аппаратные, и программные системы DPI имеют одинаковое предназначение. В зависимости от целей применения DPI, классификация может выполняться с различной точностью:
• тип протокола или приложения (например, Web, P2P, VoIP);
• конкретный протокол уровня приложения (HTTP, BitTorrent, SIP);
• приложение, использующее протокол (Google Chrome, ^Torrent, Skype).
Для решения задачи классификации предложено большое количество алгоритмов, которые, в свою очередь можно классифицировать по используемым в них подходам. Одним из вариантов является модель классификации подходов компании Cisco (рисунок 1) [3].
Рис. 1. Модель классификации трафика компании Cisco
Выделяют несколько методов глубокого анализа пакетов:
• Анализ сигнатур.
• Числовой анализ (Numerical analysis).
• Анализ поведения.
• Эвристический анализ.
• Анализ состояния/протокола [4].
В процессе развития, для поиска строк применялось большое число различных алгоритмов поиска строк, обладающих различными преимуществами и недостатками, что определяло область их применения. Наиболее известными алгоритмами являются: прямой перебор (brute force, BF), КнутМорис-Пратт (KMP), Бойер-Мур (BM), Ахо-Корасик (AC), AC-BM, Wu-Manber, Commentz Walter (CW), фильтры Блума (вероятностная структура на основе хеша).
Для эффективного поиска сигнатур регулярный язык, описывающий сигнатуру, представляются в форме конечного автомата. Примерами таких автоматов являются DFA, NFA, D2FA и другие.
В связи с тем, что большая часть случаев применения DPI связана с операторами и провайдерами услуг связи, расположение серверов DPI в сети обычно разделяется на два типа: распределённое и локальное подключение. При распределённом подключении имеется набор сенсоров (probes), которые используются для сбора данных о сетевом трафике, и анализаторов трафика, получающих данные от пробников. Пример показан на рисунке 2: сенсоры подключены сразу после шлюза, к коммутатору для анализа трафика пользователей и передачи данных серверу DPI и БД и к кластеру виртуальных серверов на базе VMWare. Красными линиями показаны направления сбора данных о трафике системой DPI, зелёными - передача данных на хранение в БД.
Игт&рнет
Рис. 2. Распределённое включение DPI в сеть
Локальные системы подключаются к определённому каналу передачи данных. Они могут находиться у шлюза либо на стороне конечного пользователя. На стороне конечного пользователя подключение происходит на уровне сетевой карты, на уровне же шлюза система подключается в точке, которая является единственным выходом в глобальную сеть для какой-либо локальной подсети. Если в сети используется несколько шлюзов, то при установке системы на одном из них может наблюдаться следующая ситуация: исходящий трафик какого-либо соединения проходит через один шлюз, а входящий - через другой (сетевая асимметрия).
Наиболее частым вариантом является установка системы глубокого анализа пакетов на границе сети, так такое расположение даёт возможность для полного контроля трафика и его мониторинга. Подключение при этом может осуществляться по одной из трёх схем:
• зеркалирование трафика: в данном варианте система подключается к так называемому «зеркальному порту». Для избежания замедления работы сети анализируется копия трафика, которая пересылается в систему DPI посредством зеркального порта, сам же трафик проходит дальше по сети, политики и ограничения для него применяются постфактум;
• «в разрыв». В этом варианте сервер подключается напрямую после шлюза. Данный подход имеет существенные недостатки в плане отказоустойчивости и скорости: при наличии проблем с сервером DPI возникнут проблемы с передачей данных в сети, а пропускная скорость передачи данных в сети будет зависеть от скорости обработки потока пакетов сервером DPI;
• посредством bypass. В этом случае используется bypass-коммутатор с высокой отказоустойчивостью. Трафик перенаправляется на сервер DPI, а затем, после проведения анализа и применения политик направляется обратно в сеть. В случае отказа системы DPI трафик проходит напрямую через bypass, без анализа, но при этом позволяя избежать задержек.
Несмотря на то, что программные реализации технологии DPI не требуют для работы специализированного оборудования, их работа возможна только при наличии определённой аппаратной базы.
Серверы, используемые для систем глубокой проверки пакетов, имеют сходство с серверами 1U, но для них более важное значение имеют сетевые компоненты в сравнении с объёмом оперативной памяти и жёстких дисков. В серверах систем глубокого анализа трафика могут быть установлены от 4 до 8 портов 1 GbE RJ45, 4 порта 10 GbE SFP+ или 2 порта 40 GE QSFP+.
Сетевые карты в DPI-системе должны поддерживать режим Bypass на случай отключения сервера - в этом случае соединение между портами продолжит работать с помощью питания от встроенной батареи и будет пропускать трафик без фильтрации. Также на сервере DPI предусмотрена установка системы мониторинга состояния работы, с помощью которой происходит управление параметрами через графический интерфейс либо посредством удалённого подключения. BIOS материнской платы сервера должен иметь аппаратные средства защиты от повреждений и поддерживать удалённое обновление.
Для работы сервера достаточно, к примеру, одного или двух процессоров Intel Xeon E5-2600 V4 и как минимум двух жёстких дисков, объединенных в массив RAID 1. Для соблюдения требований отказоустойчивости рекомендуется установка как минимум двух взаимозаменяемых блоков питания.
В большинстве случаев производители систем глубокого анализа трафика предлагают готовые решения, представляющие собой комплект из программного обеспечения (системы DPI) и серверного оборудования в требуемой конфигурации.
Программные реализации систем глубокого анализа трафика выполняют тот же функционал, что и аппаратные реализации, используют те же алгоритмы и методы классификации трафика, и, хотя по мощности скорости обработки и уступают аппаратным реализациям, в силу более низкой стоимости (также существую бесплатные программные реализации) и удобства внедрения либо развёртывания, являются оптимальным вариантом для средних или небольших организаций, а также для обучения принципам глубокого анализа пакетов.
Список литературы /References
1. Кошепаров Д.Я., Беленькая М.Н. Обзор функциональных возможностей программного продукта Riverbed® SteelCentral™ NetProfiler // Телекоммуникации и информационные технологии, 2019. № 1. С. 109-111.
2. Svoboda Jakub. Network Traffic Analysis with Deep Packet Inspection Method // Masatyk University Faculty of Informatics. Brno, Spring, 2014.
3. Гетьман А.И., Евстропов Е.Ф., Маркин Ю.В. Анализ сетевого трафика в режиме реального времени: обзор прикладных задач, подходов и решений. // Препринт ИСП РАН 28, 2015.
4. Хазов Владимир. Классификация трафика и Deep Packet Inspection // vasexperts.ru. [Электронный ресурс]. Режим доступа:: https://vasexperts.ru/blog/klassifikatsiya-trafika-i-deep-packet-inspection/ (дата обращения: 12.05.2020).
