Ce sunt sistemele de analiză și filtrare a pachetelor DPI? Cum ajută BRAS și DPI la menținerea numerelor de abonați? Schema de criptare DPIEnc

A fost odată un furnizor mare care lăsa pachetele să treacă și limita traficul puțin câte puțin. Toata lumea a fost fericita. Sau aproape toată lumea. Până când cineva a spus: „Nu avem suficient control al traficului”. Așa a apărut DPI în rețeaua confortabilă, locuită. Această tânără fiară cu regulamentele ei urcă în adâncurile pachetelor, acolo unde firewall-urile simple nu pot ajunge.

Sistemele DPI (Deep Packet Inspection) devin din ce în ce mai populare, în ciuda costului lor astronomic. Acum aproape fiecare mare furnizor are propria soluție. Pentru Cisco este Cisco SCE, pentru Huawei este SIG9800, pentru Juniper este VXA. Există și companii mai puțin cunoscute care produc în principal echipamente DPI. De exemplu, Allot sau Inline Telecom cu Sandvine lor. Se pare că și rușii au apărut: Traffica.

Deci, ce este atât de interesant la aceste complexe care costă sume exorbitante de bani? Servitorul tău neascultător a dedicat câteva luni integrării DPI și am ceva de spus.

Ce instrumente de control al traficului avem în prezent?

1. Bazat pe adrese MAC sau VLAN-uri. Foarte nepoliticos.
2. După adresele IP ale destinatarilor sau expeditorilor. Aceasta este ceea ce fac deseori acum.
3. De porturi TCPși UDP. Ei fac și asta.
4. Pe serverele proxy puteți restricționa după numele de domeniu. Dar vă imaginați un server proxy pentru abonații din rețeaua furnizorului?

Pe baza parametrilor de pachet de mai sus, puteți construi un ACL sau configura QoS. Dar, cu mâna pe tastatură, poți limita accesul la un singur blog LiveJournal fără a închide LiveJournal în sine? Puteți izola traficul torrent de restul?

Adică ai acum în mână instrumente de firewall cu state care, cel mult, ajung la nivelul de transport (4 din 7). DPI vă permite să tăiați în adâncimea pachetului, analizând datele la toate nivelurile OSI de la 1 la 7. De aceea este Deep. Chiar și tunelurile fără criptare (QinQ, GRE, MPLS etc.) sunt dure pentru el.

Deci, ce poate face de fapt:

1. Colectați o mare varietate de statistici. Acum le puteți prezenta aproape orice capriciu al agenților de marketing pe un platou de argint.
2. Filtrați (selectați) traficul în funcție de anumite criterii. Aici se adaugă adresa IP + portul celor evidente nume de domeniiși protocoale. De exemplu, traficul P2P sau Skype, greu de calculat, este detectat aici cu un bang.
3. Aplicați tot felul de politici abonaților. Ele pot fi fie statice - tu însuți alegi cine poate face ce și când și cu ce priorități - sau dinamice - există undeva un server centralizat care răspunde la aceste întrebări. Apropo, abonații pot fi nu numai utilizatori obișnuiți retele fixe, dar și, de exemplu, cele wireless, cu toate atributele inerente (APN, numere de telefon, modalitate de acces - GERAN, UTRAN... pot fi urmărite)
4. Prevenirea atacurilor. Este vorba despre atacuri de rețea din exterior, cum ar fi DoS, scanarea portului. Sunt detectate și unele atacuri din interior
5. Datorită capacității de a oglindi și de a redirecționa traficul, sunt posibile tot felul de lucruri frumoase, cum ar fi verificarea e-mailurilor pentru spam sau verificarea traficului de pe site-uri web pentru viruși.

Cum determină mașina shaitan atacurile și dacă traficul aparține unuia sau altuia? Pentru a face acest lucru, ea are trei moduri:

1. Reguli explicite..ru" în antetul HTTP;
2. Semnături. Acestea sunt pregătite de furnizor și conțin un set de o mare varietate de reguli pe baza cărora traficul va fi filtrat. Este posibil ca acest dosar să fie pregătit ținând cont de dorințele dumneavoastră. Fișierul de semnătură este actualizat periodic și, în funcție de producător, fie este descărcat automat de echipament, fie trebuie să îl faceți manual;
3. Analiza comportamentului. În acest moment, întreaga filozofie a cuvântului Adânc este în titlu. Multe sisteme DPI vă permit să luați acțiuni bazate pe „ciudățenie” în comportamentul traficului - determinați un protocol sau detectați și preveniți un atac.

Cel mai simplu exemplu: ați lansat un scanner de porturi. Programul accesează adresa specificatăși iterează prin toate cele 65.535 de porturi de protocol TCP, de exemplu. Nu este o idee că niciun program sănătos nu va stabili astfel de conexiuni sălbatice - acesta este un clopoțel care sună pentru DPI că ceva nu este în regulă în rețea.

Am avut șansa să ating și chiar să mă adâncesc în linia de comandă a soluției SIG9810 - DPI de la Huawei. Prin urmare, vă voi povesti despre integrarea sa. Cred că principiile de funcționare a echipamentelor de la orice alt furnizor diferă ușor.

Echipamentul DPI este plasat într-un gol, ceea ce este foarte logic. Adică, foarte gros, cam așa:

Tot traficul, desigur, trece prin sistem, unde i se aplică politici și toate statisticile sunt eliminate.

În ceea ce privește hardware-ul, DPI este format din următoarele componente:

1. Bypass;
2. Dispozitiv front-end;
3. Dispozitiv back-end;
4. Server PCRF (funcția de politici și reguli de taxare);
5. Comutatoare pentru a oferi conectivitate între componente.

Opțional:

6. Servere (monitorizarea stării sistemului, syslog);

7. Matrice de discuri(pentru stocarea statisticilor și pentru servere);

8. Dispozitive VAS (Servicii cu valoare adăugată - verificarea spam-ului și virușilor, control parental).

O diagramă tipică arată astfel:

Toate acestea împreună necesită 2-3 standuri, vă voi spune despre fiecare dintre ele.

1) Bypass

Ce se întâmplă când adăugați un alt element în rețea? Și mai ales standul? Așa este, apare o altă legătură slabă. Bypass-ul este conceput pentru a corecta măcar puțin această situație.

Este primul inclus în rețea și front-end-ul este deja conectat la ea.

Are două moduri de funcționare:

1. Protectiv. Traficul trece direct și nu este îndreptat către Front-End

2. Muncitor. Traficul este direcționat către Front-End, dar dacă se întâmplă ceva, trece pe canalul direct, ca în primul caz.

Bypass va face tot posibilul pentru a menține conexiunea.

Front-End-ul se defectează (placa se arde) - traficul trece pe canalul de protecție.

Legătura către front-end se întrerupe (portul este ars, cablul este deteriorat) - traficul este comutat pe canalul de protecție.

Se stinge curentul - traficul trece pe canalul de protecție.

Bypass-urile pot fi electrice sau optice. Cele electrice se bazează pe relee și se folosesc cu fire de cupru, adică viteza maximă pe canal este de 1 Gb/s.

Cele optice sunt mult mai misto. Pe lângă faptul că viteza pe canal este de până la 10 Gb/s, există posibilitatea de a oglindi traficul gratuit - fasciculul luminos nu va scădea. Adică, în timp ce traficul circulă prin canalul direct, o copie a acestuia este trimisă către Front-End. Încă nu pot fi întreprinse acțiuni privind traficul, dar statisticile pot fi deja colectate.

D

2) Front-End

Aceasta este o râșniță. Gigabiții se grăbesc prin el, în el fiecare pachet este analizat pe octeți, în el traficul fiecărui abonat este supus execuției în conformitate cu politicile.

În esență, acesta este un router modular foarte puternic.

Are un cap - plăci de control pentru dispozitivul în sine - de regulă, există două dintre ele - master/slave.

Există plăci de linie responsabile pentru recepția și transmiterea traficului, adică fizic, canal și unele niveluri de rețea.

Există fabrici de comutare care sunt responsabile pentru transferul de date între plăci.

Și în cele din urmă, mâinile sunt plăcile de procesare, care lopătează aceste grămezi, impun restricții, colectează statistici și în același timp reușesc să interacționeze cu Back-End-ul și serverul PCRF, solicitând politici și transferându-le date.

3) Back-End

Acesta este un hambar imens unde este depozitat totul. Aici sunt detaliile tuturor politicilor, toate statisticile colectate, semnăturile, regulile de oglindire și redirecționare, pachetele cu rază sunt trimise aici și așa mai departe. Orice poate fi recuperat în orice moment.

În ceea ce privește hardware-ul, Huawei are un server blade. Fiecare placă este duplicată. Unele dintre ele pot fi schimbate la cald, altele organizează echilibrarea încărcăturii.

4) Server PCRF

Foarte grosier, stochează corespondențe: utilizator - număr de poliță. Front-End îi trimite ID-ul abonatului, returnează numărul poliței, Front-End solicită detalii despre politica corespunzătoare pe Back-End.

De regulă, există un server PCRF pentru multe site-uri.

Din perspectiva rețelei, DPI poate fi împărțit în trei părți:

1) parte de viteză super mare;

Traficul utilizatorilor

Calculat în gigabiți pe secundă

2) Rețea de interacțiune a componentelor (FE, BE, server);

Traficul aici este mic și gigantic (chiar sute) cu interes. Prin această rețea circulă doar informațiile de serviciu.

3) control și PCRF - interfață cu o rețea externă (pentru DPI).

Acestea sunt canale către rețeaua OMC (centrul de operare și întreținere) pentru tranzitul către serverul PCRF. De asemenea, doar în scopuri oficiale - acces la echipamente și NMS (Network Management Server).

La practică

Cele mai bogate statistici pot fi colectate. Permiteți-mi să vă dau câteva exemple:

Trafic total în oraș, împărțit pe diferite tipuri:

La fel sub formă de plăcintă:

Ce găzduire video predomină:

Top 10 site-uri după numărul de conexiuni:

Top 10 site-uri după volumul de trafic:

Trafic pentru fiecare abonat separat în categoria WEB:

Cei mai activi utilizatori:

Și iată un exemplu de aplicare a politicilor: totul se face din mers - și trec câteva secunde între comandă și efectul acesteia.

Imaginea arată efectul unei politici care limitează traficul total la 700 kb/s, cu prioritate pentru video (verde) și 200 kb/s garantat pentru P2P (violet).

Și acesta este un exemplu de utilizare a priorităților simple. Limitare generală de asemenea, la 700 kb/s, cea mai mare prioritate este video (verde), a doua este FTP (roșu) și ultima este violet P2P

Politicile pot fi, de asemenea, setate foarte flexibil:

• limitați viteza totală a traficului până la punctul de blocare;
• limitați viteza de trafic pentru fiecare categorie (web, video, p2p, IM și așa mai departe) separat, până la blocare;
• alocați lățime de bandă pentru fiecare tip de trafic (de exemplu, nu mai mult de megabit/s, dar ar trebui garantat 200 kb/s);
• indicați prioritatea pentru fiecare tip.

Și alte moduri mai puțin evidente.

Iubesc tot felul de colos uriaș, precum KrAZ, BelAZ - poți simți puterea de neimaginat în zgomotul motoarelor lor și o ușoară uimire în fața lor. Un sentiment foarte asemănător când lucrezi cu DPI. Cuvintele nu pot descrie fluxul de aer al turbinei de la răcitoare, clipirea a zeci de LED-uri în întunericul sălii mașinilor, mănunchiul strâns de fire optice care intră în misteriosul Bypass și posibilitățile aproape nelimitate pe care le oferă. Oportunități care te fac nu un administrator de rețea, ci un maestru.

Vă aducem în atenție un interviu cu o persoană care este familiarizată cu dispozitivul și cu specificul funcționării acestuia. În conversația de astăzi cu el, am discutat probleme care sunt relevante în În ultima vremeși pentru segmentul de limbă rusă a internetului: rolul statului și cenzura rețelei sale și, de asemenea, a atins exemple de control ascuns al internetului și al societății folosind exemplul Chinei.

Subiectul interviului însuși a dorit să rămână anonim. El este un fost specialist rus în IT, care locuiește în China continentală de 6 ani, lucrând pentru o companie locală de telecomunicații ca inginer administrativ superior. Aceasta este o conversație serioasă despre tehnologiile de rețea... întors împotriva rețelei în sine și, de asemenea, despre viitor retea globalași deschiderea societății noastre.

Nici măcar nu mai este o chestiune de inițiative ale statului rus – firmele private au început să apară ca ciupercile, oferind solutii proprii cenzurând rețeaua, aceleași filtre de trafic conform listelor Roskomnadzor și ale Ministerului Justiției, de exemplu cunoscutul Carbon Reductor. Prin urmare, merită să privim această experiență chineză cu toată seriozitatea și grija pentru a înțelege dinainte toată adâncimea găurii în care încearcă atât de sârguincios să ne împingă.

— Povestește-ne despre cel Mare Firewall chinezesc, pe care chinezii înșiși îl numesc „Scutul de Aur”, ce este tehnic? Care este scopul său principal?

Pe acest moment acestea sunt trei componente, trei dragoni pe care se bazează - tehnologiile Deep Packet Inspection (DPI), Connection probe și Support vector machines (SVM). Împreună reprezintă un filtru foarte avansat care blochează accesul la resursele interzise de Partidul Comunist de pe internetul extern.

În același timp, ideologii oficiali afirmă că ar trebui să protejeze psihicul chinez de influența corupătoare a Occidentului, conform altora, aceasta este o cenzură de stat a părții internaționale a Internetului;

— Să aruncăm o privire mai atentă la fiecare dintre aceste componente. Deci, ce este Deep Packet Inspection?

Pe scurt, este o tehnologie de inspecție și filtrare de nivel scăzut pachete de rețea conform continutului lor. Aici trebuie să trasați imediat o linie roșie: diferența fundamentală față de firewall-urile deja familiare este că DPI analizează nu atât antetele pachetelor (care, desigur, pot, de asemenea), ci se îngroapă în conținutul traficului de tranzit la niveluri de modelul OSI de la al doilea și mai sus.

Permiteți-mi să subliniez că toate acestea se fac în timp real și din punctul de vedere al unui observator extern, practic nu se observă întârzieri sau manipulări cu traficul.

— În Rusia, recent s-au scris multe despre introducerea DPI, multe operatori federali(mai ales se referă operatori de telefonie mobilă) chiar și se presupune că îl au deja în formă de lucru. Putem spune că adoptăm experiența chineză?

DPI rus și chinez nu au practic nimic în comun, în afară de un nume comun și principii de funcționare. Ideea aici este, în primul rând, amploarea și seriozitatea implementării lor. După cum este evident din metoda de operare descrisă anterior, DPI consumă o mulțime de resurse, deoarece toate operațiunile numeroase pe care le efectuează (de exemplu, defragmentarea pachetelor, dezambalarea acestora, recunoașterea tipurilor de date și a protocoalelor, scanarea conținutului, numeroase euristici și multe altele). , mult mai mult) trebuie să apară în timp real. Prin urmare, principalul criteriu pentru severitatea DPI este profunzimea analizei traficului de tranzit pe care și-o poate permite acest sistem pentru a menține un nivel acceptabil de latență.

Dacă tragem analogii cu tehnologiile antivirus, cât de adânc vă poate permite un emulator de procesor să vă scufundați în codul fișierului scanat? Chiar dacă capacitățile și resursele tehnice vă permit să urmăriți codul la infinit, cufundându-vă în ramuri și proceduri din ce în ce mai noi, cerințele generale pentru latența sistemului au întotdeauna limitări specifice, astfel încât adâncimea de imersiune este întotdeauna limitată.

Adesea, în această situație, este folosit know-how-ul tehnologic sau de optimizare, dar puteți merge diferit - pur și simplu creșteți radical putere de calcul. Deci, când vorbim despre DPI chinezesc, trebuie să înțelegem că aceasta este exact ultima modalitate - în realitate este un centru de date de dimensiunea unui oraș regional real, care folosește inteligența roiului (Swarm Intellegence) pentru a gestiona echilibrarea și procesarea. de date între nenumăratele sale părți-noduri.

Revenind la întrebarea - dacă implementările interne ale DPI costă, după cum îmi imaginez, până la 50 de milioane de dolari, atunci chinezii sistem national apropiindu-se de un miliard. DPI-ul rus este incapabil din punct de vedere tehnic să efectueze o analiză cu adevărat profundă a pachetelor care trec, ceea ce înseamnă că barierele sale de securitate vor fi eventual ocolite de utilizatori calificați în multe moduri diferite. Prin urmare, DPI rusesc este diferit de chinez...

— Să trecem la al doilea dragon chinezesc — ce este o „sondă de conectare”?

Aceasta este o evoluție ulterioară a DPI - fuzionarea unui server proxy și a unui mecanism de filtrare la nivel scăzut. În acest caz, dacă încercați să vă conectați la orice serviciu din afara naționalului gateway de rețeaÎn primul rând, o astfel de solicitare este „înghețată”, iar conexiunea ulterioară către adresa țintă este deja din partea DPI. Acesta este, ca să spunem așa, un sistem proactiv pentru testarea și identificarea tipului solicitat Internet extern Servicii.

Dacă, de exemplu, utilizați un serviciu interzis în China, atunci protocolul său client trebuie să fie serios obscurcat pentru a putea depăși mecanismul de căutare a semnăturii DPI. Atunci când utilizați o sondă de conexiune împotriva dvs., răspunsul va trebui, de asemenea, să fie ofuscat pe partea serverului, de exemplu. în general, nu veți putea folosi standardul servicii publiceîn cazul interzicerii acestora.

În acest moment, sonda de conexiune vă permite să determinați destul de precis și cu resurse reduse tipul de serviciu extern pe care un utilizator din China dorește să îl folosească. Pentru a da un exemplu mai realist, această tehnologie a fost folosită cu succes împotriva rețelei de suprapunere i2p, după care a fost blocată în China.

— Apropo, ce se poate spune despre sisteme precum Tor, i2p sau VPN? Cât de eficiente sunt cu adevărat în fața unei cenzuri online atât de agresive?

Nu vreau să supăr pe nimeni, dar sunt ineficiente și deloc la fel de tenace pe cât „zvonurile populare” fac zgomot despre asta - toate sistemele menționate au fost de mult blocate în China. Mai mult, puteți bloca Tor sau i2p într-o duzină de moduri diferite, dintre care cel mai simplu este să blocați procedura de bootstrap în momentul inițializării clienților. Blocarea nodurilor de intrare ale acestor rețele (de exemplu, nodurile directorului Tor) în acest fel este o sarcină banală chiar și pentru un administrator obișnuit. Dacă luăm în considerare capacitățile pe care le are guvernul chinez, în primul rând mă refer la bastonul DPI de înaltă tehnologie - aceasta este o sarcină complet banală.

Vă puteți uita la i2p netDB - nu există noduri cu IP-uri chinezești, dar dacă vă uitați la statistici deschise utilizatorii Serviciu Tor, apoi înregistrează maximum 1000 de IP-uri chinezești unice pe lună, iar aceasta este pentru o țară de mai multe miliarde de dolari precum China, care are cel mai mare număr de utilizatori de internet din lume.

Apropo, în acest caz de „recunoaștere” chinezii folosesc obfsproxy, deși blocarea acestuia, din câte îmi dau seama, în această etapă de dezvoltare a Marelui Firewall al Chinei nu prezintă dificultăți tehnice, pur și simplu nu are sens. din cauza numărului mic de utilizatori ai acestei tehnologii exotice, precum și a eșecurilor constante în munca ei.

— Cum merg lucrurile cu VPN și SSH?

Situația cu VPN este destul de contradictorie - unii furnizori o suprimă agresiv, alții aproape nu. China Unicom, unul dintre cei mai mari furnizori de coloană vertebrală din China continentală, este cunoscut pe scară largă pentru blocarea sa. În acest moment, detectează și blochează mai mult de 5 tipuri de VPN. Pentru a fi mai specific, acestea sunt: ​​OpenVPN, PPTP, L2TP, SSTP și Cisco.

În plus, când are loc următorul congres al Partidului Comunist Chinez, internetul este filtrat, astfel încât chiar și ceea ce a funcționat în vremuri de liniște poate să nu mai funcționeze în zilele noastre.

În general, din câte știu, guvernul chinez va acorda licență pentru utilizarea VPN-urilor, adică după înregistrarea guvernamentală corespunzătoare, va permite utilizarea VPN-urilor în scopuri comerciale legale, iar aceasta va fi propria lor versiune a protocolul bazat pe OpenVPN. După intrarea în vigoare a acestei legi, toate protocoalele VPN diferite de versiunea de stat vor fi complet „tăiate” la gateway-ul transfrontalier.

În ceea ce privește serviciul SSH, există și încercări de a-l bloca. După rând semne indirecte Teste similare sunt efectuate și în rețelele publice, în astfel de cazuri, în jurnale puteți găsi multe conexiuni scăpate sau nereușite cu eroarea tipică „Identificarea versiunii de protocol prost”. În același timp, atunci când încercați să vă conectați la servere din afara Chinei, puteți vedea ulterior mai multe încercări de conexiune false de la IP-uri chinezești, precedând conexiunea de resetare în sine. Probabil, aceasta este screeningul serverului de primire folosind tipul de sondă de conexiune, despre care am discutat deja mai sus.

Adesea, astfel de conexiuni de testare sunt confundate cu forța brută, deși în acest caz este mai probabilă o încercare de a identifica pasiv un sistem/protocol la distanță folosind modele de răspuns caracteristice (scanarea amprentelor digitale).

După identificarea unui astfel de serviciu, adresa acestuia este introdusă (de obicei timp de 1-3 luni) în filtrele și listele de oprire corespunzătoare, pentru ca pe viitor, pentru a economisi resurse, să se evite interogările recursive pe o gazdă care a fost deja detectată și identificat. Astfel de filtre sunt completate treptat cu servicii interzise în China. Astfel, datorită în parte probei de conectare, baza Marelui Firewall din China crește și se extinde complet automat.

- Pentru a face descrierea noastră completă, să ne uităm la ultimul dragon sinistru - Suport mașini vector (SVM).

Aș dori să subliniez că sonda de conectare, și mai ales SVM, ar trebui considerată o extensie, o intelectualizare și mai mare a DPI. Mașina vectorială de suport (SVM) este un alt pas în această direcție. Acesta este un algoritm de învățare automată folosit pentru clasificare automată matrice mari de date eterogene.

Am discutat deja că DPI este o mașină de filtrare care izolează anumite date într-un flux conform regulilor sau semnăturilor statice. În schimb, SVM face posibilă scanarea fluxului de internet pe baza analizei statistice fără un set rigid de reguli. De exemplu, analizați frecvența anumitor caractere, lungimile pachetelor, analiză Activitate suspicioasa de la adresele date, observați diverse dezechilibre și anomalii de rețea, dezvăluind astfel modele ascunse. SVM este un atașament inteligent DPI care, continuând analogia noastră cu antivirus, aduce capacități euristice („strângere” euristică) procesului de filtrare a traficului de internet.

Permiteți-mi să vă dau un exemplu: în China, nu se poate aminti de aniversarea protestelor din Piața Tiananmen de la Beijing din 4 iunie 1989, când mulți studenți au fost literalmente zdrobiți de tancuri în urma unor revolte majore. DPI, care scanează dinamic traficul național, blochează orice URL care menționează data specificată.

După ce chinezii au început să desemneze această dată ca 35 mai (și în multe alte moduri ingenioase), analiza convențională a semnăturilor a devenit semnificativ mai dificilă. Dar euristica SVM a venit în ajutor, este capabilă să recunoască contextul și să detecteze astfel de „date suspecte” cu o intervenție umană minimă.

— Pentru a rezuma, ținând cont de tot ce s-a spus, putem spune că introducerea planificată a unui DPI „în întregime rus” de către Rostelecom este un fel de prevestire de rău augur, un semn negru pentru întregul Runet?

Trebuie să înțelegeți că DPI în sine este un instrument modern puternic și modul în care va fi utilizat este o chestiune de principii morale și profesionale ale acelor oameni în mâinile cărora se va afla.

Astfel, DPI vă permite să efectuați o cantitate imensă de muncă utilă pentru rețea - mulți furnizori globali îl folosesc pentru a-și controla și echilibra traficul, operatorii de telefonie mobilă îl folosesc pentru a colecta statistici detaliate pentru fiecare utilizator individual, această tehnologie face posibilă, de asemenea, controlul adaptiv al vitezei de transmisie a pachetelor individuale (QoS) și multe altele. În general, DPI oferă o sumă uriașă oportunități uniceîntr-o gamă largă, de la modelare de înaltă calitate până la crearea de sisteme de spionaj avansate, cum ar fi PRISM.

— Făcând abstracție de la orașele chineze cu centre de date și de echipamentele lor tehnice ultramoderne, cum este internetul chinez din punctul de vedere al unui observator extern? Ce trăsături de dezvoltare are, care sunt adaptările sale specifice la un astfel de mediu cenzurator?

— Faptul este că Internetul în sine, nu numai în China, este un mediu destul de reactiv. Metodele de cenzură obișnuită, bazate pe mijloace tehnice și interdicții brute, sunt slab aplicabile acesteia.

De exemplu, dacă un blogger popular își scrie propria opinie critică despre guvernul chinez pe blogul său, de obicei vor exista mai multe postări încrucișate ale mesajului original înainte ca cenzorii să-l observe și să îl blocheze. Și mai departe, dacă cenzorii încep să le vâneze pe toate, efectul Streisand se declanșează adesea spontan - o încercare de a suprima unele informații, dimpotrivă, atrage și mai multă atenție din partea comunității asupra acesteia. Acest fenomen este o consecință a marii reactivități și autoreflecție a mediului de rețea.

Prin urmare, în ciuda cantității uriașe de cenzură reală din China și, uneori, blocarea unor portaluri întregi la scară largă agenție de știri, recent o tendință alternativă în utilizarea metodelor non-tehnice de influențare a opiniei publice a luat amploare în țară. Ideea lor principală este că, dacă nu este întotdeauna posibil să taci un adversar online, atunci de ce să nu conduci astfel de discuții în direcția necesară statului?

— Am citit că recent a fost anunțat oficial că China a creat o unitate de analiști de opinie guvernamentali pe internet, care a recrutat 2 milioane de angajați. Se așteaptă ca acești analiști să patruleze spațiul virtual ca loc de muncă principal. Ei nu au drepturi de a șterge orice informație - sarcina lor este să controleze tendințele internetului, să studieze sentimentele publice ale cetățenilor chinezi și, de asemenea, să le manipuleze conform unei tehnici speciale.

— Da, aceasta este aceeași armată de rețea invizibilă, ale cărei arme sunt metode speciale de influență ascunsă asupra rețelei. Pentru a explica mai clar această strategie, voi da un caz real.

În urmă cu aproximativ doi ani, internetul chinezesc a explodat la o moarte destul de ciudată. Un tânăr care a fost arestat pentru tăiere ilegală de lemn în apropierea casei sale a ajuns într-o închisoare din China. Acolo a murit câteva zile mai târziu în circumstanțe destul de ciudate. Autoritățile au explicat oficial cauza morții sale spunând că „în închisoare, se juca de-a v-ați ascunselea cu colegii deținuți și, împiedicându-se, a căzut, lovindu-se cu capul de perete”. Internetul chinezesc a preluat această poveste foarte repede, voi menționa doar o cifră: QQ.comÎn 24 de ore, peste 50.000 de comentarii au apărut pe acest caz, toate celelalte platforme de internet au fost literalmente pline de indignare față de absurditatea acestui incident. A spune că cenzorii pur și simplu fizic nu au putut face față înlăturării urmelor de „mânie populară” în zilele noastre înseamnă a nu spune nimic.

Printr-o coincidență amuzantă, hieroglifa „joacă de-a v-ați ascunselea” în chinez Are și un al doilea sens - „a fugi de pisică”, de care au profitat bloggerii chinezi. Chiar și după câțiva ani pe internet, puteți căuta pe Google un număr imens de referințe la această poveste despre un prizonier care a murit într-o închisoare din China. care s-a izbit de perete în timp ce încerca să scape de o pisică" Bloggerii, cu versiunea lor a pisicii fatale, au încercat să ducă la limită absurditatea explicației oficiale, ceea ce a dat naștere a ceea ce s-ar numi acum „meme pe internet”. La acea vreme, segmentul chinezesc al internetului era pur și simplu fierbinte, cenzorii nu puteau influența situația, acțiunile lor de a taci și de a șterge mesaje nu fac decât să adauge combustibil la foc, învârtind volantul neîncrederii și criticii ascuțite la adresa guvernului RPC.

Și apoi, în culmea nemulțumirii, s-a întâmplat ceva: o echipă guvernamentală complet diferită s-a alăturat jocului, care, în loc de încercările anterioare de închidere masivă a resurselor, a propus în mod neașteptat o competiție printre cele mai bloggeri celebri China. Utilizatorii de internet înșiși, prin vot online, au fost rugați să aleagă cei mai autorizați 5 bloggeri pentru ei, cărora li sa oferit ulterior acces deplin la locul incidentului. Autoritățile le-au dat toate datele, toate faptele, acces gratuit tuturor martorilor. Acești bloggeri au inundat rețeaua cu fotografiile și comentariile lor de la fața locului, însă, fără a putea adăuga nimic nou la substanța acestei morți ciudate.

Dar ceva sa întâmplat cu opinia publică - de îndată ce informațiile de la locul incidentului au început să vină din surse independente și în doze uriașe, de îndată ce toate datele au devenit cât mai deschise - oamenii și-au pierdut aproape imediat interesul pentru acest caz și gradul de indignare a dispărut rapid . Astfel, după această intervenție, s-a putut suprima foarte rapid taifunul epidemiei antiguvernamentale.

Din motive evidente, nu este posibil să povestiți multe incidente similare pe internetul chinezesc, dar ceva comun tuturor acestor povești este important - metodele de control evoluează, devin mai subtile, ascunse și în mai multe etape. Pe lângă cenzura strictă și categorică prin blocare pur tehnică, în cazul epidemilor online se folosesc tehnologii complet diferite pentru a influența opinia publică.

Prin urmare, nu ar trebui să ne concentrăm doar asupra mijloacelor tehnice, care se dezvoltă rapid și în China, deoarece chiar în fața ochilor noștri se creează și se perfecționează tehnologii de control fundamental noi, unde autoritățile încearcă adesea să folosească toate avantajele internetului ca un mijloc deschis. mediu cu semnul opus - pentru control ascuns și restricții ale libertății de opinie.

— Este posibil să comparăm cumva Internetul Chinei cu Runetul obișnuit în ceea ce privește gradul de libertate al cetățenilor lor?

- De fapt Cel mai mic nivelîn China nu există practic nicio cenzură - dacă te uiți la rețelele lor de socializare, acestea sunt pline de zvonuri și acuzații ale autorităților, unde adevărul și prostiile de-a dreptul sunt strânse în jurul încurcăturii generale de emoții. Aproape nimeni nu citește asta, la fel ca și zidul personal, cred, 70% dintre membrii necunoscuți ai rețelei noastre de socializare VKontakte, care sunt liberi să scrie acolo orice vor.

Următorul nivel este critica sistematică, argumentarea, bloggeri strălucitori și activi cu publicul lor, aici există deja o anumită tensiune, există cenzură activă și eliminarea mesajelor provocatoare. Pe parcursul trimestrului, potrivit nutriționistului G. King de la Harvard, autoritățile de cenzură a rețelei din RPC șterg până la un milion de mesaje și comentarii la acestea. Și, în sfârșit, al treilea nivel este bloggerii de top, cu o audiență uriașă. Sau acestea sunt situații în care un subiect decolează și primește rezonanță publică și online largă.

Aici, sunt posibile o varietate de opțiuni pentru opoziție activă și pedeapsă: dacă bloggerul inițiator poate fi acuzat de ceva, el poate fi arestat și i se poate scoate „dintele dureros” de la rădăcini. Dacă epidemia de rețea este prea puternică și delocalizată, atunci în cazul sunt implicate „forțele speciale ale rețelei”, care încearcă să „desprindă abur” folosind diverse tehnologii ingenioase pentru controlul societății prin puterea soft (de exemplu, povestea descrisă anterior cu un încercarea nereușită a unui prizonier de a scăpa de o pisică).

Toate acestea trei în același timp nivelurile existente creează opinii contradictorii și o anumită confuzie, inducând adesea în eroare prima impresie a unui străin. Astfel, oamenii care sunt aleatoriu și externi țării („turiști”) văd multe critici antiguvernamentale în conturile anonime, ceea ce creează un sentiment fals de libertate relativă. Pe de altă parte, anul trecut, autoritățile au arestat 6 bloggeri cunoscuți deodată și i-au aruncat în închisoare, acuzându-i că „au răspândit zvonuri despre o lovitură militară iminentă”.

În acest din urmă caz, nu ar trebui să încercați să interpretați prea serios formularea oficială, deoarece atunci când Wikipedia a fost închisă aici, aceasta a fost justificată de lupta „împotriva propagandei agresiunii și violenței”, pe care se presupune că această enciclopedie online gratuită o desfășoară în jurul lume.

— Totul este clar despre cele trei „niveluri chinezești”. Dar anonimatul?

— Nu există anonimat în China. RPC are legi care impun bloggerilor să se înregistreze cu detaliile reale ale pașaportului. Acest lucru se face sub pretextul „îmbunătățirii încrederii online unul în celălalt și protejării intereselor utilizatorilor terți”.

Există, de asemenea, o lege care cere să vă documentați identitatea atunci când încheiați orice acord pentru a primi servicii de acces la Internet. Toate site-urile aflate fizic în China sunt supuse înregistrării obligatorii la Ministerul Industriei și Tehnologiei Informației, care descrie destul de pedant ce fel de site este și cine este responsabil pentru ce pe el. Astfel, indiferent de rezultatul evenimentelor, există întotdeauna o anumită persoană responsabilă pentru eventualele încălcări.

Adăugați la acest control constant de fundal (nu vorbesc doar de Internet, amintiți-vă cel puțin de interzicerea recentă din SUA asupra vânzărilor de echipamente de la Huawei, care s-a dovedit a fi plină de bug-uri, sau povestea de la Sankt Petersburg despre chinezi fiare de călcat care se conectează neautorizat la rețelele Wi-Fi publice), unde tot traficul și activitatea dvs. din rețea sunt atent monitorizate și înregistrate. Aici oricine, chiar și cel mai înapoiat utilizator de rețea din punct de vedere tehnic, înțelege perfect că activitatea lui este înregistrată.

De exemplu, puteți încerca să utilizați un VPN sau să discutați cu cineva din străinătate prin PGP și, cu abilitățile și aptitudinile potrivite, s-ar putea chiar să funcționeze. Dar, în același timp, este evident pentru toată lumea că va fi înregistrat însuși faptul utilizării unor astfel de tehnologii, ceea ce în viitor, dacă este combinat cu alte circumstanțe agravante, poate duce la persecuția dvs. Apropo, tehnologiile de filtrare euristică, cum ar fi SVM, pot detecta automat utilizarea aproape oricărei criptografii, ceea ce atrage în plus atenția mai întâi asupra traficului și apoi asupra persoanei tale.

Permiteți-mi să formulez observația principală. După 6 ani de viață locală, am avut impresia că China, cu sistemul său de control total al fundalului și pedepse demonstrative aspre periodice, încearcă să dezvolte în mod persistent un model de comportament cetățean în care o persoană s-ar supune voluntar și subconștient unui act. de autocenzură, fiind în permanență conștient de faptul că fiecare pas sau declarație a lui în cadrul rețelei este atent înregistrat. Dorința de a se reține, condusă în primul rând de frica subiacentă, devine o a doua natură în timp.

Așa că ajungem la o dihotomie ciudată pentru un european mai liberal: formal poți scrie ceea ce crezi, dar cei mai mulți chinezi preferă să nu facă asta. Apoi copiii învață asta de la tații lor și așa sunt crescute generații întregi de cetățeni fideli în permanență țării fără propriul punct de vedere. Apropo, acestea sunt rădăcinile rele ale colectivității și patriarhatului lor lăudate...

— Privind din afară, care este prognoza ta pentru Runet? În fruntea țării noastre mari, deservind fizic clusterul principal Internet în limba rusă, este președintele permanent, colonel KGB și membru al PCUS din 1975, ce tendințe în dezvoltarea rețelei vă așteptați în acest sens?

- Desigur, totul va deveni mai greu. Dar permiteți-mi să-mi exprim scepticismul - personal, nu cred că aceasta va fi exact „opțiunea chineză”, deoarece această abordare, credeți-mă, este extrem de high-tech. Permiteți-mi să vă reamintesc că în Rusia nici măcar nu știu cum să filtreze paginile web individuale interzise de instanță, interzicând în mod barbar o grămadă de resurse deodată folosind IP-ul lor comun.

Prin urmare, repet încă o dată, nu este nevoie să sperii rețeaua locală cu „versiunea chineză”. Cel mai probabil, lipsa capacităților tehnice reale va fi compensată de o legiferare rapidă și pur administrativă” forta bruta" Singurul lucru în comun cu China este că, în timp, o astfel de presiune va forma un sindrom de autocenzură în stil chinezesc în rândul populației. Adică, modul de a gândi un lucru și de a vorbi (comenta) altul, cu un ochi constant asupra „orice s-ar întâmpla”, ceea ce, pentru a spune ușor, este departe de comunicarea și autoexprimarea umană normală.

Cu toate acestea, în latitudinile rusești, IMHO, acest lucru va duce nu la supunere, ci la imprevizibilitatea populației care a prins deja „gâtul libertății”.

— Să completăm descrierea noastră a internetului asiatic cu ultima întrebare, pusă pe net: care sunt cele mai extreme lucruri pentru siguranța ta pe care le poți face pe internetul chinez în acest moment?

— Aș evidenția două puncte serioase: acestea sunt orice declarații împotriva cenzorilor înșiși și a cenzurii, precum și orice apel la acțiune populară colectivă offline.

În primul caz, China face eforturi titanice pentru ca însuși faptul cenzurii, controlului și supravegherii să nu fie resimțit în exterior de majoritatea cetățenilor de rând ai țării, adică astfel încât acest fenomen să nu fie discutat sau înregistrat în niciun fel . Oricare dintre încercările dumneavoastră de a discuta în mod deschis această problemă specială și de a sublinia faptele de control va avea cel mai probabil consecințe foarte grave (în direct proporțional cu gradul de persuasivitate și gravitatea faptelor prezentate). Paradoxul este că astăzi este mai sigur să critici conducerea Partidului Comunist însuși decât metodele sale de a controla internetul sau societatea.

În ceea ce privește al doilea, dacă doriți să aduni oameni pentru orice scop, acest lucru va fi strict suprimat. Permiteți-mi să vă reamintesc încă o dată despre partea principală a strategiei: declarațiile critice personale sau criticile fragmentate din partea cetățenilor sunt de cele mai multe ori acceptabile, dar orice încercare de discuții colective, autoorganizare sau asociații bazate pe opinii comune și, în plus, deconectarea. cu ei, sunt categoric inacceptabile. Din acest motiv, chiar și grupurile de pasionați de ciclism sunt blocate online dacă încearcă să se adune în masă offline. Guvernul chinez se teme teribil de orice consolidare a cetățenilor, totuși, tocmai această funcție, după cum cred, o va oferi internetul mai „adult” al viitorului.

Să începem cu definiții.

BRAS – router în rețele acces în bandă largă(Server de acces la distanță în bandă largă). În esență, acesta este un echipament terminal din partea furnizorului, conceput pentru accesul direct al utilizatorului la Internet.

DPI (Deep Packet Inspection) – tehnologie pentru acumularea de date statistice, verificarea și filtrarea pachetelor de rețea după conținutul lor. Este după conținut, și nu după antetul pachetului, deși acesta din urmă este posibil.

Cum funcționează BRAS șiDPI ajuta la mentinerea numarului de abonati?

Pentru a răspunde la această întrebare, trebuie să înțelegeți de ce pleacă clienții. Nu este un secret pentru nimeni că clienții vin pentru un preț mic și pleacă din cauza calității proaste a serviciilor. Acest lucru se datorează de obicei pierderii de pachete sau latenței la nivelul BRAS. Pot exista multe motive, dar cele mai frecvente sunt performanța hardware insuficientă (încărcare CPU, probleme adaptor de retea), probleme de software (OS neoptimizat, software selectat incorect).

Prima problemă poate fi rezolvată prin modernizarea echipamentului, dacă este posibil. Rezolvarea celei de-a doua probleme poate dura destul de mult. Trebuie remarcat faptul că rezolvarea ambelor probleme poate implica schimbări la scară largă în rețeaua operatorului de telecomunicații.

Pe lângă problemele legate de calitatea serviciilor, un rol important joacă legislația rusă, nerespectarea acesteia poate duce la amenzi mari și, în cazuri speciale, la revocarea licenței. Licența poate fi retrasă în trei cazuri:

• utilizarea echipamentului necertificat;
• încălcarea cerințelor SORM-3;
• asigurarea accesului la resurse interzise (FZ-139, FZ-187, FZ-398, FZ-114).

Cred că răspunsul la întrebarea pusă anterior este evident: utilizarea de echipamente moderne, de înaltă performanță, certificate, cu software la zi și respectarea legislației ruse garantează păstrarea și creșterea bazei de abonați, precum și „securitatea”. ” din licența de prestare a serviciilor telematice.

Problema vitezei reduse a fost rezolvată, dar folosind DPI puteți monitoriza și comportamentul abonaților. De îndată ce utilizatorul începe să studieze tarifele altor furnizori de internet, sistemul DPI va anunța administratorul despre acest lucru. Da, da, nu este dificil să aflați istoricul vizitelor dvs. - este dificil să intrați într-un pachet de trafic, în special unul criptat, dar cel mai adesea acest lucru nu este necesar. Și apoi este suficient să schimbați manual setările de facturare, astfel încât totul să „zboare” pentru abonat sau să îi trimiteți o scrisoare cu o „ofertă specială”. Mai mult, DPI-urile moderne pot să prioritizeze traficul, adică să facă lățimea de bandă mai largă pentru navigarea pe web, de exemplu, și să limiteze viteza torrenților.

Ce tipuri de BRAS există și cât costă pentru operatorul de telecomunicații?

De obicei, o piesă de echipament acționează ca BRAS, iar o altă piesă acționează ca DPI.

BRAS poate fi împărțit în grupuri în funcție de performanță și cost. La rândul său, execuția poate fi software și hardware, la un cost - plătit și gratuit.

Soluțiile software cu sursă deschisă (gratuită) destul de comune sunt:

• Accel-ppp (disponibil pentru majoritatea versiunilor de Linux);
• mpd5 – disponibil în sursă pentru sistemul de operare FreeBSD.

Soluțiile care sunt gratuite în etapa de instalare necesită ulterior personal calificat pentru a le întreține. În plus, opțiunile BRAS de mai sus nu pot efectua o analiză profundă a traficului.

Soluțiile comerciale pot fi fie software, fie hardware.

Numeroase soluții hardware sunt oferite de Cisco în seriile 6XXX și 7XXX și Juniper Networks în seria MX. Produsele Huawei ME60 câștigă și ele popularitate.

Prețul minim pentru echipamentul folosit începe de la 100 de mii de ruble. Această sumă include șasiul, placa de control al performanței minime și sursa de alimentare. Upgrade-ul se face prin înlocuirea plăcii de control și a modulelor aferente, care se achiziționează separat. Prețul maxim al hardware-ului BRAS poate ajunge la câteva milioane de ruble, iar performanța declarată rămâne adesea doar pe hârtie.

Pe lângă router, va trebui să achiziționați un DPI. Costul DPI de la Cisco pe piața secundară, în special Cisco SCE8000-2X10G-E, este de aproximativ 2,5 milioane de ruble.

Costul total al unor astfel de sisteme nu este limitat. Consumul de energie DPI hardware este de aproximativ 1000–1600 de wați, dimensiunea montabilă în rack este de 5U. Consumul minim de energie al BRAS este de la 500 W, dimensiunea montabilă în rack este de 3U. În cele din urmă, obținem un monstru cu o dimensiune minimă de 8U și un consum de energie de cel mai bun scenariu 1,5 kW de energie.

Este posibil să combinați BRAS și DPI într-un singur echipament?

Da, există astfel de soluții. Dar mai departe piata ruseasca Nu sunt mulți producători de astfel de soluții reprezentați. Majoritatea nu se deranjează propria dezvoltare, dar cumpără un motor străin licențiat - cu toate „găurile” pentru serviciile de informații străine. Singurii care au creat sistemul de la zero sunt experții VAS cu SKAT DPI multifuncțional. Soluția este atât de populară încât a fost deja instalată de peste 600 de furnizori - citiți aceste rânduri, iar pagina a trecut prin VMSAT DPI.

Avantajele SKAT DPI

• Spre deosebire de hardware BRAS cu propriul firmware specializat, aceasta este o soluție universală. Software-ul SKAT DPI poate fi instalat pe orice server cu arhitectură x86-64, inclusiv pe cele deja existente în organizație.
• Aveți propriul server RADIUS, dar puteți folosi unul terță parte.
• Procesarea automată a listei site-urilor interzise din Roskomnadzor și Ministerul Justiției (FZ-139, FZ-187, FZ-398, FZ-114), inclusiv suport pentru o listă albă.
• Certificat de SSS – Nr. OS-3-SPD-1538.
• Testat de Roskomnadzor (document) în ceea ce privește filtrarea traficului de internet pentru operatorii de telecomunicații pentru a limita accesul la resursele interzise și pentru a respecta legislația rusă.
• Sprijin pentru IS SORM-3 (respectarea cerințelor Decretului Guvernului Federației Ruse din 27 august 2005 nr. 538).
• Prefiltru pentru SORM, extractor pentru SORM-2 și SORM-3.
• Suport IPv6 complet, inclusiv nating.
• Spațiul ocupat în rack este de la 1U, consumul minim de energie este de la 300 W.
• Îl poți testa înainte de a cumpăra propria retea pentru a asigura calitatea lucrării.
• Dacă se dorește, poate fi integrat în rețeaua furnizorului exclusiv ca DPI.
• Costul nu depinde de cursul de schimb.
• Suport tehnic vorbitor de limba rusă.

De asemenea, trebuie remarcat faptul că SKAT este în mod constant modernizat nu numai pentru a răspunde nevoilor legislației ruse, ci și pentru a cerințe moderne Securitate. La rândul său, software-ul intern se află sub protecția statului.

Complexul hardware și software SKAT-DPI este disponibil în trei opțiuni de configurare:

• Intrare– numai filtrarea traficului în conformitate cu cerințele legislației federale.
• Baza– Intrare + capabilități opțiuni suplimentare: prefiltru SORM, gestionarea lățimii de bandă și prioritizarea traficului, trimiterea de notificări către abonați.
• Complet– Capacități de bază + management flexibil al abonaților, suport pentru liste albe, protecție CG-NAT și DDoS.

Concluzii?

În condiții de concurență acerbă, calitatea serviciilor oferite arată atitudinea față de sursa de venit - clienții. Este simplu: furnizorii de internet luptă pentru tine, clienții lor și investesc sume uriașe de bani în sisteme de management al traficului. Dacă aveți probleme, scrieți la asistența tehnică, sunați la linia de asistență telefonică. Un furnizor bun va avea întotdeauna capacitatea tehnică de a vă face conexiunea la Internet mai rapidă și mai stabilă.

Sistemele DPI folosesc tehnologia pentru acumularea de informații statistice, precum și pentru filtrarea și monitorizarea pachetelor de rețea, ținând cont de conținutul acestora. Ele funcționează pe un principiu mai profund decât firewall-urile care analizează doar antetele pachetelor. Această tehnologie examinează conținutul traficului de la al doilea strat al modelului OSI și mai sus. Sistemele pot identifica și opri virușii, pot opri informatii inutile. Decizia de blocare poate fi luată și pe baza simptomelor indirecte, prin care sunt recunoscute anumite protocoale și programe.

Prezentare generală a tehnologiei și a situației pieței

După cum arată statisticile, de peste 5 ani în țara noastră, grupul de utilizatori care se conectează în mod regulat (cel puțin o dată în 24 de ore) la Internet a crescut semnificativ. Dacă mai devreme această cifră era de 31%, astăzi a crescut la 57%. Dacă traducem aceste date în cifre, obținem aproximativ 66,5 milioane de oameni.

Din 2010, a existat o creștere rapidă a utilizatorilor de telefonie mobilă. Potrivit statisticilor, în prezent, mai mult de o treime din toate vizitele site-urilor web provin de la smartphone-uri (3/4 din total) și alte dispozitive portabile.

În ciuda diferiților factori nefavorabili, experții prevăd o creștere suplimentară a traficului mobil. Operatorii sunt nevoiți să reacționeze la schimbări și să caute modalități suplimentareîmbunătățirea calității serviciilor lor, astfel încât tehnologia de control devine relevantă pentru ei trafic de rețea. Potrivit experților, până în 2020 piața globală DPI va depăși 4,7 miliarde de dolari.

Ce sunt sistemele de analiză și filtrare a pachetelor DPI?

Tehnologia DPI nu numai că vă permite să optimizați debitul canalului, dar poate crește și nivelul de securitate atunci când lucrați cu informații. Interesul în țara noastră pentru astfel de soluții este alimentat la nivel legislativ. Statul cere operatorilor de telecomunicații să limiteze accesul abonaților la conținut ilegal.

Soluțiile de analiză profundă a traficului vă permit să:

• combate terorismul;
• protejarea împotriva atacurilor de rețea;
• blocați execuția malware-ului;
• garantarea vitezei și calității accesului la Internet;
• eliminarea supraîncărcărilor de rețea;
• diferențierea traficului, asigurarea uniformității fluxului și distribuția prioritară.

Sistemele DPI ajută la distribuirea sarcinii astfel încât utilizatorii să nu observe o scădere a vitezei și să rămână mulțumiți de calitatea conexiunii. Astfel de sisteme sunt instalate în principal la marginea rețelei operatorului, în decalajul dintre legăturile ascendente existente care se îndepărtează de routerele de graniță. Acest lucru permite ca tot traficul de intrare și de ieșire să fie direcționat prin DPI, ceea ce crește acuratețea controlului și monitorizării. Problemele specifice sunt rezolvate prin instalarea echipamentelor mai aproape de utilizatorii finali, la nivel CMTS, etc.

Reductor de carbon DPI X

Operatorii de piață au apreciat de mult avantajele tehnologiei DPI, dar nu sunt mulți dezvoltatori pregătiți să ofere soluții optime pentru companiile mici și mijlocii. Compania noastră este unul dintre dezvoltatorii unui astfel de software. Creăm și susținem un produs actualizat - .

Aceasta este soluția software:

• automat nu permite traficul către resursele de pe lista Ministerului Justiției și Roskomnadzor;
• face compania să respecte pe deplin legislația rusă în conformitate cu Legea federală-436, Legea federală-398, Legea federală-187, Legea federală-149, Legea federală-139 (asigură împotriva amenzilor);
• funcționează conform schemei de „oglindire a traficului”;
• folosește 8 tehnologii de filtrare (suportate: HSTS, TCP/IP, BGP/OSPF, HTTPS, DNS, HTTP);
• capabil să verifice până la 900 de mii de pachete de trafic pe secundă;
• are o interfață web clară;
• utilizează un minim de resurse hardware;
• acceptă IPv6.

Deoarece dezvoltatorii noștri pregătesc modificări cu câteva luni înainte de modificări și recomandări, companiile au întotdeauna la dispoziție un produs actualizat care îndeplinește cerințele actuale de analiză a traficului și filtrare.

În ce constă DPI?

DPI oferă:

• analiza traficului;
• restricționarea accesului abonaților la site-uri web;
• personalizarea serviciilor;
• restrângerea folosirii unora protocoale de rețea.

Sistemele au următoarea compoziție:

• PCC – împarte fluxul de date fizic în sesiuni logice;
• PCRF este „creierul” care folosește regulile necesare (stabilirea parametrilor de calitate ai serviciului, aplicarea servicii aditionaleși așa mai departe);
• PCEF – aplică regulile PCC în trafic, efectuează taxarea;
• OCS – controlul soldului abonatului, tarifarea serviciilor, aplicarea reducerilor, calculul volumului de servicii;
• Facturare – salvează datele soldului abonaților și oferă acces la acestea la serverul OCS;
• Rețea de acces – rețeaua care conectează abonatul la furnizorul de servicii, conține toate dispozitivele client;
• Transcodare, optimizare server – stocarea în cache a datelor pentru a îmbunătăți debitul;
• Server AAA – identifică abonații, ține evidența resurselor utilizate (protocol RADIUS);
• BBERF – anunță PCRF că sesiunea a fost activată, trimițând ID-ul abonatului și alți indicatori pentru definiție precisă regulile serviciului QoS;
• UDR – oferă stocarea datelor utilizatorului.

Opțiuni pentru utilizarea sistemelor DPI

Există 9 scenarii posibile:

1. controlul si analiza traficului;
2. prioritizarea acestuia;
3. îmbunătățirea uplink-urilor;
4. distribuirea uniformă a canalului pentru toți abonații;
5. stocarea în cache;
6. evaluarea comportamentului participanților la rețea;
7. notificarea abonaților;
8. restricționarea accesului la anumite resurse de internet;
9. protejarea traficului de interceptări și alte atacuri.

Echipament necesar pentru sistemele DPI

Partea software a sistemului poate funcționa mai productiv dacă este disponibil un anumit hardware. Practic, pentru aceasta se folosesc soluții gata făcute, care includ echipamente cu software preinstalat.

De obicei, pachetul standard de sisteme de filtrare a traficului profund DPI conține:

1. Plăci de rețea cu modul Bypass care conectează interfețe la primul nivel. Chiar dacă puterea serverului se oprește brusc, legătura dintre porturi continuă să funcționeze, trecând traficul datorită puterii bateriei.
2. Sistem de monitorizare. Monitorizează de la distanță indicatorii de rețea și îi afișează pe ecran.
3. Două surse de alimentare care se pot înlocui reciproc dacă este necesar.
4. Două hard disk-uri, unul sau două procesoare.

Dispozitivele de stocare externe pot fi conectate pentru a extinde funcțiile. Deoarece în acest caz nu este necesară o viteză mare de acces, este potrivită o soluție sub forma unui sistem de stocare (sistem de stocare a datelor) și a mai multor rafturi de discuri conectate la acesta.

Unitatea principală este echipată cu două controlere, fiecare având porturi pentru conectarea la rețea și rafturi de expansiune. Utilizează procesor Intel® Xeon® E5-2600 V4. Pentru a crește toleranța la erori, sunt utilizate două surse de alimentare.

SmartOS realizează gestionarea discurilor. Prin utilizarea tehnologiei RAID-Z și a noului sistem de fișiere ZFS, echipamentul primește multe avantaje:

• monitorizarea integrității discurilor logice și fizice;
• minimizarea fragmentării informațiilor;
• viteză mare de acces la disc.

Pentru a crește cantitatea de date stocate, JBOD este conectat la unitatea principală. Un raft poate găzdui până la 70 de discuri. Această metodă vă permite să creșteți rapid capacitatea sistemului de stocare.

Scheme de conectare DPI

Există două scheme principale:

1. Activ. Instalare „în gol”. Oferă funcționalitate completă. Dispozitivul este conectat după routerul de frontieră în decalajul uplink. Datorită acestei scheme, tot traficul trece prin DPI. Acest lucru deschide o funcționalitate largă pentru procesarea acestuia. Cu toate acestea, această schemă are un dezavantaj. Dacă dispozitivul eșuează, comunicarea este întreruptă. Pentru a face acest lucru, este recomandat să utilizați fie o platformă de rezervă, fie dispozitive Bypass.
2. Pasiv. „Oglindirea traficului” are loc prin splitere optice sau porturi SPAN. O astfel de schemă deschide accesul la multe funcții: pre-filtrarea SORM, stocarea în cache, redirecționarea solicitărilor de blocare, eliminarea fluxului de clic online și așa mai departe. Dacă rețeaua este deja operațională, această schemă vă permite să implementați DPI în 1-2 zile.

Concluzie

Sistemele DPI sunt suficient de complexe pentru a se potrivi descriere detaliataîntr-un singur material informativ. Cu toate acestea, luând în considerare aceste date, se poate obține o imagine clară a cât de productive și solicitate sunt astfel de soluții. În mâinile profesioniștilor sistemului DPI sunt instrumente valoroase care îmbunătățesc calitatea serviciului și siguranța abonaților și realitatea rusă respectați pe deplin legea și lucrați cu calm ca operator de telecomunicații.

Creșterea rapidă și proliferarea în cantități mari aplicatii moderneîn reţele duce la ca acestea să devină din ce în ce mai greu de identificat şi clasificat. Acest lucru duce la faptul că rețelele corporative moderne devin invizibile pentru serviciile IT ale organizațiilor.

Organizațiile nu știu cum sunt folosite resursele rețeaua corporativă, ce aplicații rulează pe el, câte resurse sunt folosite de aplicațiile nedorite. Lipsa acestor cunoștințe înseamnă că companiile nu pot controla și optimiza utilizarea aplicațiilor și resurselor din rețeaua lor corporativă. Drept urmare, din cauza numărului mare aplicații nedoriteÎn rețelele care supraîncărcă canalele de comunicare și resursele de rețea, utilizatorii se confruntă cu probleme cu performanța aplicațiilor de afaceri importante și critice.

Dificultățile în detectarea aplicațiilor sunt asociate, în primul rând, cu evoluția aplicațiilor în sine și a protocoalelor de rețea pe care le folosesc. Toate mai multe aplicatii utilizați porturi alocate dinamic și, prin urmare, metodele tradiționale de calificare a conexiunilor de rețea folosind porturi TCP/UDP statice nu mai sunt suficiente. Aplicațiile devin mai închise și mai opace, folosind adesea diverse mecanisme de criptare și tunel. Multe aplicații din cadrul sesiunilor implică atât transmisia de date, cât și transmisia simultană a fluxurilor de voce și video. Pentru a accesa aplicații, este convenabil să utilizați interfața web, deoarece nu necesită instalarea unui software client suplimentar - utilizatorul trebuie doar să aibă un browser web. Utilizarea unui browser Web este convenabilă, accesibilă și vă permite să utilizați orice dispozitiv (calculator personal, telefon mobil, tabletă etc.) pentru a accesa aplicația. Astfel, multe aplicații devin „ascunse” în spatele protocoalelor de criptare HTTP/HTTPS care permit transmiterea acestora și, în esență, devin noi protocoale de transport.

Multe instrumente tradiționale de clasificare a traficului de rețea (de exemplu, NBAR) nu pot detecta aplicațiile care utilizează protocolul IPv6 în traficul lor.

O altă tendință asociată cu răspândirea așa-numitelor tehnologii cloud presupune consolidarea tuturor resurselor organizaționale din centrul de date al furnizorului de găzduire. Consolidarea tuturor serviciilor într-un singur centru duce la faptul că organizațiile îndepărtează astfel resurse din filialele lor și utilizatorii finali și devin dependente de performanța și lățimea de bandă a canalelor de comunicație. Multe rețele WAN distribuite existente sunt construite pe echipamente învechite care nu pot asigura interacțiunea eficientă între utilizatori și infrastructurile cloud și implementarea serviciilor cloud din cauza performanței scăzute, a lipsei de capabilități pentru transferul sigur și fiabil al aplicațiilor cloud și a lipsei de instrumente pentru monitorizare și monitorizare. gestionarea traficului în cloud. Prin urmare, este necesar să înțelegem cât de bine performează aplicațiile și timpul de răspuns al utilizatorilor de la distanță.

În astfel de scopuri, se utilizează tehnologia DPI - inspecție profundă a pachetelor, dispozitiv sau pachete software conceput pentru analiza „profundă” (până la nivelul 7 al modelului OSI) și clasificarea pachetelor care trec prin acesta. În plus față de studierea pachetelor în conformitate cu anumite reguli standard, prin care se poate determina fără ambiguitate dacă un pachet aparține aplicație specifică, să zicem, după formatul antetului, numerele de port etc., sistemul DPI implementează și așa-numitul analiza comportamentala trafic, care vă permite să recunoașteți aplicațiile care nu folosesc anteturi și structuri de date cunoscute anterior pentru a face schimb de date. Un exemplu izbitor în acest sens este Bittorrent. Pe baza analizei protocoalelor, porturilor, semnăturilor etc., DPI determină ce tip de trafic îi aparține un anumit pachet și, în funcție de regulile specificate, poate efectua orice acțiuni asupra traficului.

Este de remarcat faptul că cei mai mari jucători și produsele lor de pe piața DPI de sine stătătoare sunt Allot Communications, Procera Networks, Cisco, Sandvine. Soluțiile DPI integrate în routere devin din ce în ce mai populare. Mulți oameni fac asta - Cisco, Juniper, Ericsson etc. după listă. Astfel de soluții, de regulă, sunt destul de compromisuri și nu pot oferi întreaga gamă de servicii disponibile pentru soluțiile de sine stătătoare. O caracteristică distinctivă importantă a acestui DPI este capacitatea de a analiza traficul prin colectare diferite feluri statistici defalcate pe aplicație, pe plan tarifar, pe regiune, pe tip de dispozitiv de abonat etc. Din acest motiv, minunatul NBAR numit după Cisco, deși vă permite să detectați și să controlați traficul după aplicație, nu este o soluție DPI cu drepturi depline, deoarece îi lipsesc o serie de componente importante. Sistemul DPI, de regulă, este instalat la marginea rețelei operatorului în decalajul dintre legăturile ascendente existente care părăsesc routerele de margine. Astfel, tot traficul care iese sau intră în rețeaua operatorului trece prin DPI, ceea ce face posibilă monitorizarea și controlul acestuia. Pentru a rezolva probleme specifice, puteți instala acest sistem nu la marginea rețelei, ci să-l coborâți mai jos, mai aproape de utilizatorii finali, la nivelul BRAS/CMTS/GGSN/... Acest lucru poate fi util pentru acei operatori care, pentru a număr de motive, în plus față de utilizarea canalelor externe, doresc, de asemenea, să rezolve sarcina de control intern. Desigur, aici vorbim de furnizori de servicii destul de mari, cu o rețea mare distribuită în toată țara și capacități de canal destul de scumpe.

Problema principală a tuturor soluțiilor DPI existente este aceea că, pentru a determina fără ambiguitate dacă un anumit flux de date aparține unuia dintre aplicații de rețea, dispozitivul care efectuează analiza traficului trebuie să vadă ambele sensuri ale sesiunii. Cu alte cuvinte, traficul de intrare și de ieșire din același flux trebuie să treacă prin același dispozitiv. Dacă echipamentul înțelege că vede o singură direcție într-o sesiune, nu are capacitatea de a corela acest flux cu nicio categorie cunoscută de trafic cu toate consecințele care decurg. În acest sens, când vine vorba de controlul uplink-urilor, apare o întrebare foarte logică despre traficul asimetric, care pentru operatorii mai mult sau mai puțin mari nu este exotic, ci banal. Diferiți furnizori rezolvă această problemă în moduri diferite.

Ce urmeaza?

Implementarea QoS

Din punct de vedere operațional, operatorul poate controla eliminarea canalelor conectate prin DPI la nivelul aplicației. Sarcinile dinainte Implementările QoS (Quality of Service) s-au rezolvat exclusiv prin intermediul punerii la coadă bazată pe marcarea traficului cu biți de serviciu în anteturile IP, 802.1q și MPLS, evidențiind traficul cu cea mai mare prioritate (diverse tipuri de VPN-uri, IPTV, SIP etc.), și garantându-i un anumit debit în orice moment dat. Traficul de tip Best Effort, care include tot traficul Internet al abonaților de acasă (HSI - High Speed ​​Internet), a rămas practic necontrolat, ceea ce a făcut posibil ca Bittorrent să preia toată lățimea de bandă liberă, ceea ce, la rândul său, a dus la degradarea oricăror alte aplicații de Internet. Folosind DPI, operatorul are posibilitatea de a distribui canalul între aplicatii diverse. De exemplu, noaptea, permiteți traficului Bittorrent să ocupe mai multă lățime de bandă decât în ​​timpul zilei, în orele de vârf, când există o cantitate mare de alt trafic web în rețea. O altă măsură populară printre mulți operatori de telefonie mobilă este blocarea traficului Skype, precum și a oricăror tipuri de telefonie SIP. În loc să blocheze complet, operatorul poate permite operarea acestor protocoale, dar la o viteză foarte mică cu o degradare corespunzătoare a calității serviciului pentru o anumită aplicație, pentru a forța utilizatorul să plătească pentru serviciile de telefonie tradițională, sau pentru un pachet special de servicii care permite accesul la serviciile VoIP.

Managementul abonaților

Punctul important este că regulile pe baza cărora se realizează modelarea/blocarea pot fi specificate folosind două baze principale - per-serviciu sau per-abonat. În primul caz, se afirmă în cel mai simplu mod că aplicație specifică permis să recicleze o anumită bandă. În al doilea, aplicația este legată de banda pentru fiecare abonat sau grup de abonați independent de ceilalți, ceea ce se realizează prin integrarea DPI cu sistemele OSS/BSS existente ale operatorului. Acestea. poti configura sistemul in asa fel incat abonatul Vasya, care a descarcat 100 gigabytes de torrente intr-o saptamana, sa fie limitat in viteza de download a acelorasi torrente la nivelul de 70% din tariful pe care l-a achizitionat pana la sfarsitul lui. lună. Și de la abonatul Petya, care a cumpărat serviciu suplimentar numit „Skype fără probleme”, trafic aplicații Skype nu va fi blocat sub nicio condiție, dar orice altul este ușor. Puteți să vă legați de User-Agent și să permiteți navigarea numai folosind browsere recomandate, puteți face redirecționări dificile în funcție de tipul de browser sau de sistemul de operare. Cu alte cuvinte, flexibilitatea planurilor și opțiunilor tarifare este limitată doar de bunul simț. Dacă vorbim de traficul operatorilor de telefonie mobilă, atunci DPI vă permite să controlați încărcarea fiecăruia stație de bază separat, distribuirea echitabilă a resurselor BS în așa fel încât toți utilizatorii să fie mulțumiți de calitatea serviciului. Desigur aceasta sarcina poate fi rezolvat folosind nucleul mobil, dar acest lucru nu este întotdeauna bugetar.

De ce sunt necesare toate acestea?

Toate acestea sună, desigur, nu foarte optimist, dar pentru mulți operatori, din motive economice, este mult mai ieftin să instalați un sistem DPI pentru a controla utilizarea canalului decât pentru a extinde uplink-urile. Mai mult, pentru a face acest lucru fără pierderi semnificative pentru baza de abonați, deoarece... Se știe de mult timp că cel mai mare trafic este generat de aproximativ 5% dintre cei mai activi abonați. Și în acest caz, este mai fezabil din punct de vedere economic pentru operator să reducă baza de abonați, dar să plătească mai puțini bani pentru uplink, deoarece cei mai activi descarcători vor pleca, din cauza cărora operatorul este obligat să plătească o sumă considerabilă de bani pentru uplink-uri în fiecare lună. Este coșmarul oricărui marketer, dar în unele cazuri, pierderea clienților poate fi profitabilă. delicatețea situației constă în faptul că mai devreme sau mai târziu va veni un moment în care toți operatorii vor, într-un fel sau altul, să modeleze ceva folosind DPI. Acestea. Dacă astăzi un operator începe să taie torrenți, cei mai activi descărcatori vor merge imediat la altul. După aceasta, încărcarea canalelor sale va crește foarte mult și clienții vor începe să se plângă că navigarea pe web nu funcționează bine. Operatorul va gândi, va calcula și, în cele din urmă, va cumpăra DPI. Și așa mai departe până când toți jucătorii de pe piață dobândesc un sistem similar. Desigur, instalarea DPI nu scutește operatorul de sarcina de a extinde periodic uplink-urile și de a crește viteza de acces pentru abonați. Doar că acum aceste extinderi nu vor fi necontrolate. Acestea. operatorul va ști întotdeauna ce tip de trafic și în ce cantitate va trece prin canalele sale, acest lucru va fi previzibil. Desigur, când vine vorba de cutii de 1 milion de dolari, nu este vorba doar de uplink-uri, trebuie să înțelegeți asta.

Model nou de servicii

Am trecut fără probleme la sarcina dezvoltării rețelei și a serviciilor acesteia. Privind modul în care abonații folosesc banda pe care au achiziționat-o și ce aplicații folosesc, operatorul poate studia nevoile fiecărei categorii de abonați și le poate oferi planuri tarifare mai flexibile și mai avansate. De exemplu, pe baza faptului că abonații tarifului Silver folosesc în mod activ servicii de telefonie SIP terțe, le puteți oferi un pachet suplimentar care le permite să utilizeze un serviciu similar oferit de operator, dar cu reducere. Alți abonați, dacă vor să folosească o telefonie mai ieftină, vor fi motivați să treacă la un tarif mai scump, achiziționând bonusuri suplimentare sub formă de viteză crescută. Puteți veni cu multe cazuri, acesta este doar unul dintre ele. Abordarea este foarte interesantă și benefică atât pentru utilizator, cât și pentru operator. Tendințele de dezvoltare pe piața de telecomunicații sunt de așa natură încât în ​​curând va fi pur și simplu neprofitabilă pentru operatori să vândă conducta, așa cum fac acum, există o mulțime de studii care confirmă acest lucru. ARPU nu crește, concurența este mare, echipamentele trebuie modernizate din ce în ce mai des, costurile operatorilor cresc, iar dorința de a obține profit nu dispare. Sarcina DPI în acest context este de a implementa noi modele de furnizare de servicii către utilizatorul final. Unii operatori globali se îndreaptă deja către această idee cu pași mici. În Rusia, evident, acest proces va fi lung și dureros, pentru că... Pentru a realiza sarcina, este necesar să reconstruiți creierul abonaților la o frecvență diferită, ceea ce este foarte dificil, deoarece Nu este ușor să înțărcați o persoană să nu descarce torrente, ci să cumpere conținut legal.

DPI este excelent la lucru în combinație cu diverse sisteme VAS (Servicii cu valoare adăugată), cum ar fi antispam, antivirus, optimizatori video etc. Esența funcționalității este de a redirecționa o parte din trafic, conform criteriilor specificate de administrator, către dispozitive terțe pentru o analiză și procesare mai profundă.

Este destul de ușor să organizezi furnizarea de servicii de control parental către utilizatori, care devin din ce în ce mai relevante.

Servicii de informații

În final, aș vrea să spun câteva cuvinte despre motivul pentru care se achiziționează și DPI, în afară de a-și bate joc de abonați. Echipamentul DPI, datorită capacității sale de a vedea tot și toți ce se întâmplă în rețea, este un dispozitiv foarte interesant pentru tovarășii în uniformă, fără de care nu poți merge acum. Folosind DPI, agențiile de informații pot monitoriza activitatea de rețea a unui anumit utilizator. Puteți bloca VPN, HTTPS și alte facilități care fac imposibilă analiza conținutului. Desigur, este posibil să blocați accesul utilizatorilor la site-uri care sunt inacceptabile autorităților, ceea ce este foarte important în legătură cu evenimentele recente din activitatea legislativă din Rusia.

Neutralitatea rețelei

Și, în sfârșit, aș dori să spun câteva cuvinte despre neutralitatea îndelungată a rețelei care există în unele țări. Pe scurt, în absența supraîncărcărilor pe uplink-uri, operatorilor le este acum interzis să blocheze traficul aplicațiilor legitime/legitime. Acestea. Începerea blocării selective a oricărui trafic este acum permisă numai în caz de aglomerație. Dar, în același timp, încă nu există declarații clare cu privire la care aplicații sunt legale și care nu. În mod logic, numai conținutul poate fi ilegal, nu aplicațiile. De exemplu, pornografia infantilă este în mod clar conținut ilegal, dar protocoalele HTTP și Bittorrent prin care poate fi transmisă sunt complet legale. Așa că există încă destul de mult loc de dezbatere aici, iar subiectul, în opinia mea, este foarte interesant. Până acum nu există niciun semn de neutralitate a rețelei în țara noastră, prin urmare operatorii au în mână toate cardurile pentru gestionarea traficului folosind DPI.