DPI se pregătește pentru un nou val. Opțiuni pentru utilizarea sistemelor DPI. Scheme de conectare DPI

10.04.2016 | Vladimir Khazov

Traficul în rețea este eterogen, constând din multe aplicații, protocoale și servicii. Multe dintre aceste aplicații au cerințe unice de performanță a rețelei, cum ar fi viteza, latența și fluctuația. Satisfacerea acestor cerințe este o condiție prealabilă pentru ca aplicația să funcționeze rapid și stabil, iar utilizatorii să fie mulțumiți de calitate. Dacă în rețele locale(LAN) cu înaltul lor debitului Dacă nu există probleme, atunci lățimea de bandă limitată a canalului de acces la Internet (WAN) necesită o reglare fină.

Clasificare și etichetare

Furnizarea serviciilor de acces la Internet se concentrează asupra utilizatorului, cel mai important lucru este percepția acestuia asupra calității muncii: internetul nu ar trebui să „încetinească”, aplicațiile ar trebui să răspundă rapid la comenzi, fișierele ar trebui să se descarce rapid, vocea nu ar trebui să bâlbâi în timpul apelurilor, altfel persoana va începe să caute alt operator de telecomunicații. Gestionarea traficului canalului de acces la Internet, setările de restricții și priorități trebuie să îndeplinească cerințele utilizatorului. De asemenea, informațiile despre protocoale și aplicații permit administratorului să implementeze politici de securitate pentru a proteja utilizatorii rețelei.

Clasificarea traficului este primul pas care ajută la identificarea diferitelor aplicații și protocoale transportate în rețea. Al doilea pas este gestionarea acestui trafic, optimizarea și prioritizarea acestuia. Odată clasificate, toate pachetele sunt etichetate ca aparținând unui anumit protocol sau aplicație, permițând dispozitive de rețea aplicați politici QoS bazate pe aceste etichete și marcaje.

Concepte de bază: clasificare – identificarea aplicațiilor sau protocoalelor; etichetarea este procesul de marcare a pachetelor pentru a aplica politicile de întreținere a echipamentelor.

Există două metode principale de clasificare a traficului:

  • Clasificare bazată pe sarcină utilă. Bazat pe câmpuri cu blocuri de date, cum ar fi (Layer 4) porturi OSI (emițător și receptor sau ambele). Aceasta metoda este cel mai comun, dar nu funcționează cu trafic criptat și tunelizat.
  • Clasificare pe baza metodei statistice. Pe baza analizei comportamentului traficului (timpul dintre pachete, timpul sesiunii etc.).

O abordare universală a clasificării traficului se bazează pe informațiile din antetul pachetului IP - de regulă, aceasta este adresa IP (Layer 3), adresa MAC (Layer 2) și protocolul utilizat. Această abordare este limitată deoarece informațiile sunt preluate doar din antetul IP, la fel cum metodele Layer 4 sunt limitate deoarece nu toate aplicațiile folosesc porturi standard.

O clasificare mai avansată permite scanare amanuntita pachete (DPI). Această metodă este cea mai precisă și de încredere, o vom analiza mai detaliat.

Inspecție profundă a pachetelor

Sistemele de analiză profundă a traficului vă permit să clasificați acele aplicații și protocoale care nu pot fi determinate pe Layer 3 și Layer 4, de exemplu, adresele URL din interiorul unui pachet, conținutul mesajelor de mesagerie instant, voce Trafic Skype, pachete BitTorrent p2p.

Principalul mecanism de identificare a aplicațiilor în DPI este analiza semnăturii. Fiecare aplicație are propria sa caracteristici unice, care sunt incluse în baza de date de semnături. Compararea unui eșantion din baza de date cu traficul analizat vă permite să determinați cu exactitate aplicația sau protocolul. Dar din moment ce noi aplicații apar periodic, baza de date de semnături trebuie, de asemenea, actualizată pentru a se asigura precizie ridicata Identificare.

Există mai multe metode de analiză a semnăturilor:

  • Analiza modelului.
  • Analiza numerica.
  • Analiza comportamentală.
  • Analiza euristica.
  • Analiza protocol/stare.

Analiza probei

Unele aplicații conțin anumite modele (octeți/caractere/șiruri) în blocul de date de pachete care pot fi utilizate pentru identificare și clasificare. Mai mult, mostrele pot fi localizate oriunde în blocul de date, acest lucru nu afectează în niciun fel procesul de identificare. Dar, deoarece nu fiecare pachet conține un exemplu de aplicație, această metodă nu funcționează întotdeauna.

Analiza numerica

Analiza numerică studiază caracteristicile cantitative ale pachetelor, cum ar fi dimensiunea blocului de date, timpul de răspuns la pachet și intervalul dintre pachete. De exemplu, versiune veche Skype (înainte de versiunea 2.0) se pretează bine la această analiză deoarece cererea de la client avea o dimensiune de 18 octeți, iar răspunsul primit a fost de 11 octeți. Deoarece analiza poate fi răspândită în pachetele din lanțuri de magazine, decizia de clasificare ar putea dura mai mult. Analiza simultană a mai multor pachete necesită destul de mult timp, ceea ce face ca această metodă să nu fie cea mai eficientă.

Analiză comportamentală și euristică

Această metodă se bazează pe comportamentul de trafic al aplicației care rulează. În timp ce aplicația rulează, generează trafic dinamic, care poate fi, de asemenea, identificat și etichetat. De exemplu, BitTorrent generează trafic cu o anumită secvență de pachete care au aceleași caracteristici (port de intrare și de ieșire, dimensiunea pachetului, numărul de sesiuni deschise pe unitatea de timp poate fi clasificat după un model comportamental (euristic).

Analiza comportamentală și euristică sunt utilizate de obicei împreună; astfel de metode sunt folosite de mulți programe antivirus pentru identificarea virușilor și viermilor.

Analiza protocolului/starea

Protocoalele unor aplicații sunt o succesiune de acțiuni specifice. Analiza unor astfel de secvențe permite identificarea cu exactitate a aplicației. De exemplu, pe GET cerere din Client FTP Răspunsul corespunzător din partea serverului trebuie urmat.

Tot mai multe aplicații de pe Internet încep să folosească mecanisme de criptare a traficului, care creează mari probleme pentru oricare dintre metodele de clasificare. Sistemul DPI nu poate privi în interiorul unui pachet criptat pentru a analiza conținutul, așa că principalele metode de identificare a unui astfel de trafic sunt analiza comportamentală și euristică, dar nici măcar ei nu pot identifica toate aplicațiile. Cel mai nou mecanism care utilizează ambele metode simultan se numește clustering și doar acesta vă permite să identificați traficul criptat.

Deoarece niciuna dintre metodele descrise nu oferă individual o clasificare de 100% a traficului, cea mai buna practica este să le folosești pe toate în același timp.

Clasificarea traficului cu aplicarea în continuare a politicilor de calitate a serviciilor este una dintre cele mai importante sarcini ale oricărui operator de telecomunicații. Utilizare sisteme moderne DPI vă permite să efectuați această sarcină cu eficienta maximași productivitatea.

Alexandru Gornak
Director tehnic al NST LLC

Industria telecomunicațiilor din întreaga lume este în proces de convergență a noilor servicii de rețea moștenite într-o infrastructură IP comună. Și în timp ce rețelele IP globale au creat oportunități enorme pentru utilizatori, creștere și transformare a afacerii, ele au creat și noi provocări pentru furnizorii de servicii care operează aceste rețele. Una dintre aceste probleme stringente pentru furnizorii de servicii de internet este capacitatea de a controla traficul în rețeaua lor.

De exemplu, o pondere mare și în creștere a activității pe Internet este traficul P2P (peer-to-peer). De regulă, nu generează venituri pentru furnizorii de servicii, dar ocupă o parte semnificativă a resurselor rețelei. Drept urmare, traficul P2P necontrolat crește costurile și necesită eforturi suplimentare pentru a construi infrastructura de rețea. În plus, furnizorii de servicii pot suferi pierderi atunci când aplicațiile de rețea necontrolate perturbă serviciile generatoare de venituri (de exemplu, VoIP), ducând la încălcări ale acordului de nivel de servicii (SLA). Încălcările SLA pot provoca, de asemenea, atacuri distribuite de denial of service (DDoS).

Soluția la acestea și altele probleme similare este dincolo de capacitățile comutatoarelor, routerelor și firewall-urilor standard care se uită la pachetele transmise, de regulă, nu mai departe de porturile TCP/UDP. Prin urmare, astfel de dispozitive nu pot distinge, de exemplu, aplicațiile transmise Protocolul HTTP, unde pe lângă paginile Web, voce, video, mesaje instantși același trafic P2P.

Tehnologia de inspecție profundă a pachetelor (DPI) poate ajuta operatorul în toate acestea, precum și în multe alte cazuri. Pachetul profund Inspecţie). Termenul DPI se referă la dispozitive și tehnologii care vă permit să inspectați conținutul pachetelor și să efectuați acțiuni specifice bazate pe acel conținut.

Dacă folosim analogia poștală, atunci pachetul este analog scrisoare poștală, adresa de pe plic este similară cu antetul pachetului, informațiile din interior sunt similare cu încărcarea utilă. DPI este un analog al luării deciziilor privind procesarea corespondenței poștale nu numai pe baza adresei, ci și luând în considerare conținutul scrisorii.

Uneori se folosește un termen mai general - DPP (Deep Packet Processing), care implică acțiuni asupra pachetelor precum modificarea, filtrarea sau redirecționarea. Astăzi, ambii termeni DPI și DPP sunt adesea folosiți în mod interschimbabil.

Cum functioneaza?

Diversitatea organizării comunicațiilor IP este de așa natură încât pentru a accesa datele la nivel de aplicație, nu este suficient să analizați anteturile pachetelor până la nivelul 4. De exemplu, traficul HTTP poate fi transmis utilizând stiva Ethernet/IP/TCP/HTTP, iar același trafic dintr-o rețea 3G utilizează stiva Ethernet/IP/UDP/GTP/IP/TCP/HTTP, unde GTP este tunelul GPRS protocol. Prin urmare, atunci când analizează pachetele, platforma DPI utilizează așa-numitul grafic de protocol, care indică pentru fiecare dintre protocoalele stivei IP moduri posibileîncapsulare la nivelul următor.

Dar chiar dacă „a ajuns” la stiva de aplicații, nu este întotdeauna posibil să o identificăm fără ambiguitate după numărul portului TCP/UDP. Nu toate aplicațiile au porturi înregistrate IANA (ex. Skype). Una dintre principalele metode utilizate în platformele DPI în aceste scopuri este verificarea semnăturilor de protocol și aplicații. O semnătură este un model de descriere a datelor care este ales pentru a identifica în mod unic aplicația/protocolul asociat cu acesta. Fiecare platformă DPI stochează o bibliotecă de semnături, care este actualizată pe măsură ce apar noi versiuni sau aplicații.

Pe lângă metoda semnăturii, se mai folosește și analiza tranzacțiilor din rețea, care poate avea și caracteristici specifice fiecărei aplicații și protocol (dimensiunea încărcăturii utile, numărul și dimensiunea pachetelor ca răspuns la o solicitare, poziție corzi fixe sau un octet în interiorul unui pachet etc.). Arsenalul DPI include metode bazate pe natura statistică și comportamentală a fluxului de date și alte metode euristice.

Este clar că extragerea informațiilor dintr-un pachet și analizarea acestuia necesită resurse de calcul semnificative, iar una dintre cerințele principale pentru o platformă DPI este scanarea pachetelor la viteza conexiunii de date. O altă cerință esențială pentru produsele DPI este flexibilitatea aplicației, adică capacitatea de a adăuga noi capabilități și scenarii de procesare a traficului.

Prima generație de produse DPI a fost adaptată pentru a rezolva probleme înguste și nu a fost suficient de flexibilă pentru a rezolva problemele emergente sau pentru a introduce servicii noi, ceea ce a dus la necesitatea de a adăuga noi echipamente în rețea. Adăugarea de hardware nou poate fi foarte costisitoare și poate introduce, de asemenea, puncte de defecțiune suplimentare, reducând disponibilitatea generală a serviciului. În plus, utilizarea produselor DPI specializate nu permite un răspuns rapid și în timp util la noile cerințe.

A doua generație de produse DPI, dispozitive DPI programabile, elimină necesitatea de a adăuga hardware nou și de a reproiecta rețeaua. Noua generație de DPI se bazează pe procesoare de rețea multi-core, permițându-vă să rulați mai multe aplicații DPI la viteza conexiunii și să adăugați noi funcționalități folosind doar o actualizare de software.

Probleme cheie legate de infrastructura de rețea

Înainte de a vorbi despre utilizarea platformelor DPI în rețelele furnizorilor de servicii, trebuie spus câteva cuvinte despre principalele provocări cu care se confruntă furnizorii de servicii într-o lume centrată pe IP.

În primul rând, serviciile de internet în bandă largă sunt servicii de mărfuri cu rate de profitabilitate foarte scăzute. Odată ce serviciile vechi migrează la IP, ele (important) creează noi servicii IP generatoare de venituri (dincolo de accesul convențional la Internet) care oferă niveluri ridicate de profitabilitate.

În al doilea rând, este important ca furnizorii de servicii să își optimizeze capacitatea rețelei pentru a oferi o gamă largă de servicii diferiților abonați, astfel încât lățimea de bandă ocupată să maximizeze satisfacția abonaților și să asigure profitabilitatea serviciului.

În cele din urmă, amenințările cu DDoS și alte atacuri sunt în creștere. Furnizorii de servicii trebuie să fie capabili să-și protejeze rețelele de amenințările de securitate actuale și emergente.

Migrare la infrastructura de rețea cu DPI

Pentru a rezolva problemele de convergență IP, mulți furnizori de servicii folosesc tehnologia DPI pentru a monitoriza și controla traficul la toate nivelurile stivei de protocoale (inclusiv nivelul aplicației) pe baza unui set de reguli.

Există trei factori principali pentru adoptarea platformelor DPI pe web:

  • maximizarea profiturilor din servicii;
  • minimizarea costurilor de capital (CAPEX) și de exploatare (OPEX);
  • limitarea riscurilor amenințărilor la securitatea rețelei.

Maximizarea profiturilor din servicii

Funcționalitatea DPI programabilă permite furnizorilor de servicii să ofere o gamă largă de servicii profitabile pe lângă cele de bază acces în bandă largă. Astăzi, mulți furnizori de servicii se concentrează pe furnizare set de bază servicii constând în acces la Internet, telefonie și servicii TV. Cu toate acestea, chiar și serviciile de telefonie și TV de bază sunt amenințate de proliferarea serviciilor globale de voce pe Internet (Skype, SipNet, GoogleTalk) și a conținutului video (YouTube, iTunes, Netflix). Pentru a justifica investițiile mari în infrastructura de bandă largă, este esențial ca furnizorul de servicii să se îndepărteze de modelul „dumb pipe” în favoarea unui model „smart pipe” cu servicii premium.

Folosind conceptul de conductă inteligentă, furnizorii de servicii pot juca un rol cheie în lanțul valoric al noilor servicii de bandă largă.

Serviciile premium necesită managementul traficului, monitorizarea și modificarea conținutului la nivel de aplicație. De exemplu, un utilizator se poate abona la un serviciu de jocuri care oferă lățime de bandă suplimentară unui site de jocuri în anumite ore. Un alt exemplu este un abonament premium la un serviciu de internet video la cerere care oferă lățime de bandă suplimentară pentru videoclipurile în timp real vizionate printr-o conexiune la Internet. Furnizorii de servicii pot implementa facturarea pe baza utilizării anumitor aplicații de rețea.

O altă clasă de servicii premium implică inserarea și/sau modificarea conținutului în fluxurile de aplicații. De exemplu, inserarea reclamelor în fluxurile video vă va permite să difuzați reclamă personalizată pe baza preferințelor identificate ale abonatului.

După cum se poate observa din aceste exemple, pentru a participa la lanțul de venituri din serviciile premium de internet, operatorul trebuie să fie capabil să monitorizeze și să controleze trafic de rețeași conținut la nivel de aplicație. De asemenea, este important ca produsele DPI să aibă flexibilitatea de a susține noi servicii și, având în vedere oportunitățile de piață adecvate, să permită furnizorilor de servicii să își adapteze aplicațiile la cerințele pieței în schimbare dinamică.

Satisfacția maximă a clienților minimizând costurile

Este la fel de important ca furnizorii de servicii să își minimizeze capitalul și costurile operaționale atunci când implementează noi servicii.

Aceasta înseamnă că cerințele pentru resursele rețelei trebuie optimizat pentru a alinia capacitățile de livrare a serviciilor și satisfacția utilizatorilor. Aceasta este o problemă în majoritatea rețelelor de astăzi, deoarece elementele rețelei nu pot gestiona traficul dincolo de nivelul 4. Deoarece majoritatea aplicațiilor Web rulează prin HTTP pe portul TCP 80, este imposibil ca comutatoarele și routerele standard să clasifice astfel de aplicații și să controleze traficul, totul este clasificat ca trafic HTTP.

Tendințele actuale în ceea ce privește serviciile de conținut pe internet indică faptul că cerințele de gestionare a traficului sunt imprevizibile. Prin urmare, furnizorii de servicii trebuie să implementeze noi soluții DPI în care software-ul poate fi actualizat pentru a sprijini noile cerințe de gestionare și control a traficului, după cum este necesar.

Prin gestionarea eficientă a traficului de rețea bazat pe aplicații, furnizorii de servicii pot optimiza utilizarea resurselor rețelei, reducând astfel atât costurile de capital, cât și costurile de operare.

Maximizarea securității rețelei

DPI-urile sunt, de asemenea, necesare pentru a oferi cele mai bune din clasă securitatea retelei. Amenințări, inclusiv atacuri DDoS, viermi și Carduri de credit etc., continuă să crească cantitativ și calitativ. Pentru a proteja rețelele de aceste amenințări, este necesar să se implementeze firewall-uri la nivel de aplicație, sisteme de detectare și prevenire a intruziunilor, monitorizare bazată pe identificarea utilizatorilor, servicii și, cel mai important, este necesar să se poată controla și monitoriza traficul de rețea pe baza unor strategii din ce în ce mai complexe (de exemplu, analiza comportamentului aplicației și a protocolului). anomalii). Astfel, pentru amenințările din ce în ce mai sofisticate, este important să puteți adăuga noi caracteristici de securitate în rețea, după cum este necesar. Noua generație de DPI vă permite să combateți noile amenințări fără a înlocui echipamente sau a reorganiza rețeaua.

DPI este o inovație semnificativă în domeniu tehnologii de rețea, care formează baza multora servicii moderneși servicii de generație următoare.

Pentru rețelele furnizorilor de servicii, aplicațiile DPI includ personalizarea serviciilor către abonați, facturare bazată pe conținut, implementarea serviciilor clasificate în funcție de calitate și plată, management avansat al traficului P2P, oferind un nivel crescut de securitate și alte capabilități.

DPI oferă o mai bună vizualizare a datelor, gestionabilitate, caracteristici suplimentare crearea de servicii, creșterea eficienței lor operaționale și comerciale.

Atunci când alegeți un dispozitiv DPI pentru rețeaua dvs., mai întâi trebuie să luați în considerare setul de caracteristici ale acestuia și să decideți care sunt importante pentru dvs., care nu sunt și ce caracteristici doriți să aveți. De exemplu, în multe cazuri mobilitatea IP nu este necesară, dar este nevoie de suport pentru facturare, în alte cazuri este invers. Fii la curent cu toată lumea oportunități disponibile; unele DPI-uri nu acceptă funcții de securitate, altele nu acceptă facturarea etc. Fiecare furnizor de servicii este unic, iar alegerea DPI ar trebui să reflecte cerințele individuale ale rețelei.

Știm foarte bine că cenzura este rea. Dar, în ciuda eforturilor autorităților de a-și consolida influența asupra internetului, acestea sunt încă slabe și adesea proști. V-am spus deja cum. Astăzi vă vom prezenta o altă modalitate de a evita blocarea site-urilor web folosind tehnologia de bypass DPI (deep packet inspection).

Furnizorii au lacune în DPI. Se întâmplă deoarece regulile DPI sunt scrise pentru programele de utilizator obișnuite, omițând totul cazuri posibile, acceptabil conform standardelor.
Acest lucru se face pentru simplitate și viteză. Nu are rost să prindem hackeri, care sunt 0,01%, pentru că oricum, aceste blocări sunt destul de ușoare chiar și pentru utilizatorii obișnuiți.

Unii DPI nu pot recunoaște o solicitare http dacă este împărțită în segmente TCP.
De exemplu, o cerere ca „GET / HTTP/1.1rnHost: kinozal.tv......”
trimitem în 2 părți: primul vine "OBȚINE", apoi „/ HTTP/1.1rnHost: kinozal.tv…..”.
Alte DPI se poticnesc atunci când antetul „Gazdă:” este scris într-un caz diferit: de exemplu, „gazdă:”.
Adăugarea unui spațiu suplimentar după ce metoda funcționează în unele locuri: "GET /" => "GET /" sau adăugarea unui punct la sfârșitul numelui gazdei: „Gazdă: kinozal.tv”.

Cum se implementează bypass-ul în practică pe un sistem Linux

Cum să forțezi sistemul să împartă cererea în părți? Puteți rula întreaga sesiune TCP
printr-un proxy transparent sau puteți înlocui câmpul pentru dimensiunea ferestrei tcp de pe primul pachet TCP primit cu SYN,ACK.
Apoi clientul va crede că serverul a setat o dimensiune mică a ferestrei pentru acesta și va trimite primul segment cu date nu mai mult decât lungimea specificată. Nu vom schimba nimic în pachetele ulterioare.

Comportamentul suplimentar al sistemului în alegerea mărimii pachetelor trimise depinde de algoritmul implementat în acesta. Experiența arată că Linux trimite întotdeauna primul pachet nu mai mult decât lungimea specificată în dimensiunea ferestrei, pachetele rămase de ceva timp nu trimit mai mult de max(36, specified_size).

După un anumit număr de pachete, se declanșează mecanismul de scalare a ferestrei și factorul de scalare începe să fie luat în considerare, dimensiunea pachetului devine nu mai mare de max(36, dimensiunea_specificată<< scale_factor).

Comportament nu foarte elegant, dar din moment ce nu influențăm dimensiunea pachetelor primite, iar volumul de date primit prin http este de obicei mult mai mare decât volumul trimis, vizual vor apărea doar mici întârzieri.

Windows se comportă într-un caz similar mult mai previzibil. Primul segment are lungimea specificată, apoi dimensiunea ferestrei se modifică în funcție de valoarea trimisă în noi pachete tcp. Adică, viteza este aproape imediat restabilită la maximum posibil.

Nu este dificil să interceptați un pachet cu SYN,ACK folosind iptables. Cu toate acestea, capacitatea de a edita pachete în iptables este foarte limitată. Nu puteți schimba dimensiunea ferestrei folosind module standard.
Pentru a face acest lucru, vom folosi instrumentul NFQUEUE. Acest instrument permite
transferă pachete pentru procesare către procesele care rulează în modul utilizator.
Procesul, după ce a primit pachetul, îl poate schimba, ceea ce avem nevoie.

iptables - t raw - I PREROUTING - p tcp -- sport 80 -- tcp - flags SYN , ACK SYN , ACK - j NFQUEUE -- coada - num 200 -- coada - bypass

Acesta va oferi pachetele de care avem nevoie procesului de ascultare în coada numărul 200. Va înlocui dimensiunea ferestrei. PREROUTING va prinde atât pachetele adresate gazdei în sine, cât și pachetele care sunt rutate. Adică, soluția funcționează în mod egal atât pe client, cât și pe router. Pe un PC sau .
În principiu, acest lucru este suficient.

Cu toate acestea, va exista o ușoară întârziere pe TCP dacă se face acest lucru. Pentru a nu atinge gazdele care nu sunt blocate de furnizor, puteți face această mișcare.

Creați o listă de domenii blocate sau descărcați-o de pe rublacklist.
Rezolvați toate domeniile în adrese ipv4. Condu-le într-un ipset cu numele „zapret”.
Adăugați la regulă:

iptables - t raw - I PREROUTING - p tcp -- sport 80 -- tcp - flags SYN , ACK SYN , ACK - m set -- match - set lock src - j NFQUEUE -- queue - num 200 -- queue - bypass

În acest fel, impactul se va face doar asupra adreselor IP aferente site-urilor blocate. Lista poate fi actualizată prin cron la fiecare câteva zile.
Dacă actualizați prin rublacklist, va dura destul de mult. Mai mult de o oră. Dar acest proces nu consumă resurse, deci nu va cauza probleme, mai ales dacă sistemul rulează constant.

Dacă DPI nu este ocolit prin împărțirea cererii în segmente, atunci se schimbă uneori „Gazdă:” la „gazdă:”. În acest caz, este posibil să nu avem nevoie de un înlocuitor dimensiunea ferestrei, deci lanțul PRERUUTARE nu avem nevoie. În schimb, ne agățăm de pachetele de ieșire din lanț POSTOUTARE :

iptables - t mangle - I POSTROUTING - p tcp -- dport 80 - m set -- match - set zapret dst - j NFQUEUE -- coada - num 200 -- coada - bypass

În acest caz, sunt posibile și puncte suplimentare. DPI poate capta doar prima solicitare http, ignorând solicitările ulterioare ține în viață sesiuni. Apoi putem reduce sarcina procesorului refuzând procesarea pachetelor inutile.

iptables - t mangle - I POSTROUTING - p tcp -- dport 80 - m set -- potrivire - set zapret dst - m connbytes -- connbytes - dir = original -- connbytes - mode = pachete -- connbytes 1: 5 - j NFQUEUE -- coada - num 200 -- coada - ocolire

Se întâmplă ca furnizorul să monitorizeze întreaga sesiune HTTP cu solicitări de menținere în viață. În acest caz, nu este suficient să limitați fereastra TCP la stabilirea unei conexiuni. Fiecare cerere nouă trebuie trimisă în segmente TCP separate. Această problemă este rezolvată prin proxy completă a traficului proxy transparent (TPROXY sau DNAT). TPROXY nu funcționează cu conexiuni care provin din sistemul local, așa că această soluție este aplicabilă doar pe router. DNAT funcționează și cu conexiuni locale, dar există pericolul de a intra în recursivitate infinită, așa că demonul este lansat sub un utilizator separat, iar DNAT este dezactivat pentru acest utilizator folosind „-m proprietar”. Proxy-ul complet necesită mai multe resurse CPU decât manipularea pachetelor de ieșire fără a reconstrui conexiunea TCP.

iptables - t nat - I PREROUTING - p tcp -- dport 80 - j DNAT -- la 127.0.0.1: 1188

iptables - t nat - I OUTPUT - p tcp -- proprietar dport 80 - m ! -- uid - proprietar tpws - j DNAT -- la 127.0.0.1: 1188

Folosind Modificatorul de pachete NFQWS

Acest program este un modificator de pachete și un handler de coadă NFQUEUE.
Ia următorii parametri:
— daemon; demoniza prog
--qnum=200; numărul de coadă
--wsize=4; modificați dimensiunea ferestrei tcp la dimensiunea specificată
--gazdă; schimbați cazul antetului „Gazdă:”.

Folosind proxy transparent TPWS

tpws este un proxy transparent.
--bind-addr; la ce adresa sa asculti. poate fi adresa ipv4 sau ipv6. dacă nu este specificat, atunci ascultă pe toate adresele ipv4 și ipv6
--port= ; pe ce port sa ascult?
— daemon; demoniza prog
--utilizator= ; schimbarea uid-ului procesului
--split-http-req=method|gazdă; modalitate de a împărți cererile http în segmente: lângă metodă (GET, POST) sau lângă antetul Host
--split-pos= ; împărțiți toate trimiterile în segmente la poziția specificată. Dacă trimiterea este mai lungă de 8Kb (dimensiunea bufferului de primire), atunci fiecare bloc va fi împărțit în 8Kb.
--gazdă; înlocuire „Gazdă:” => „gazdă:”
--hostdot; adăugarea unui punct după numele gazdei: „Gazda: kinozal.tv”.
--metodspace; adăugați un spațiu după metoda: "GET /" => "GET /"
Parametrii de manipulare pot fi combinați în orice combinație.
Există o excepție: split-pos înlocuiește split-http-req.

Ocolirea blocării site-ului web pentru anumiți furnizori.

mns.ru: trebuie să înlocuiți dimensiunea ferestrei cu 4
beeline (corbina): registrul „Gazdă:” trebuie înlocuit pe toată durata sesiunii http.
dom.ru: trebuie să proxy sesiunile HTTP prin tpws cu înlocuirea registrului „Host:” și separarea segmentelor TCP din antetul „Host:”.
Achtung! Domru blochează toate subdomeniile unui domeniu blocat. Este imposibil să aflați adresele IP ale diferitelor subdomenii din registru
blocare, deci dacă dintr-o dată apare un banner de blocare pe un site, atunci accesați consola Firefox, fila de rețea.

Încărcați site-ul și vedeți unde se duce redirecționarea. Apoi adăugați domeniul la zapret-hosts-user.txt. De exemplu, pe kinozal.tv sunt 2 subdomenii solicitate: s.kinozal.tv și st.kinozal.tv cu adrese IP diferite.
sknt.ru: Testat pentru a funcționa cu tpws cu parametrul „-split-http-req=method”. Poate că nfqueue va funcționa, dar încă nu există nicio modalitate de a-l testa.

tkt: Ajută la împărțirea cererii http în segmente, setările mns.ru sunt potrivite
TKT a fost achiziționat de Rostelecom, se folosește filtrarea Rostelecom.
Deoarece DPI nu renunță la sesiunea de intrare, ci doar inserează propriul pachet, care sosește înainte de răspunsul de la serverul real, blocarea este, de asemenea, evitată fără utilizarea „artileriei grele” cu următoarea regulă:

iptables - t raw - I PREROUTING - p tcp -- sport 80 - m șir -- hex - șir „|0D0A|Locație: http://95.167.13.50”-- algo bm - j DROP -- de la 40 -- la 200

Rostelecom: vezi tkt

nivel: Nivelul în sine nu a interzis nimic până la sfârșit. Se pare că interdicția este de la un operator de nivel superior, eventual telia. Este necesară împărțirea solicitărilor http pe parcursul întregii sesiuni.

Modalități de a obține o listă de IP-uri blocate

1) Adăugați domenii blocate la ipset/zapret-hosts-user.txtși fugi ipset/get_user.sh
La iesire vei primi ipset/zapret-ip-user.txt cu adrese IP.

2) ipset/get_reestr.sh primește o listă de domenii de la rublacklist și apoi le rezolvă în adrese IP într-un fișier ipset/zapret-ip.txt. Această listă conține adrese IP gata făcute, dar se pare că sunt acolo exact în forma în care RosKomPozor o introduce în registru. Adresele se pot schimba, este păcat că nu au timp să le actualizeze, iar furnizorii rar interzic prin IP: în schimb, interzic solicitări http cu un antet „rău” „Gazdă:”, indiferent de adresa IP. Prin urmare, scriptul rezolvă totul singur, deși durează mult.

O cerință suplimentară este cantitatea de memorie din interior /tmp pentru a salva acolo un fișier descărcat, a cărui dimensiune este de câțiva MB și continuă să crească. Pe routere openwrt/tmp reprezintă tmpfs, adică ramdisk.
În cazul unui router cu 32 MB de memorie, s-ar putea să nu fie suficient și vor apărea probleme. În acest caz, utilizați următorul script.

3)ipset/get_anizapret.sh. rapid și fără sarcină pe router primește o foaie cu https://github.com/zapret-info.

Toate variantele scripturilor considerate creează și completează automat ipset-ul.

Opțiunile 2 și 3 apelează suplimentar la opțiunea 1.

Pe routere, nu este recomandat să apelați aceste scripturi mai mult de o dată la 2 zile, deoarece salvarea se duce fie la memoria flash internă a routerului, fie, în cazul extroot-ului, la o unitate flash. În ambele cazuri, scrierea prea des poate ucide unitatea flash, dar dacă acest lucru se întâmplă cu memoria flash internă, atunci veți ucide pur și simplu routerul.

Actualizare ipset forțată executată de script ipset/create_ipset.sh

Puteți introduce o listă de domenii în ipset/zapret-hosts-user-ipban.txt. Adresele lor IP vor fi plasate într-un ipset separat „ipban”. Poate fi folosit pentru a forța toate conexiunile la un proxy transparent „redsocks”.

Exemplu de ocolire a blocării site-ului pe Debian 7

Debian 7 vine cu nucleul 3.2 din cutie. Nu știe cum să facă DNAT pe localhost.
Desigur, nu puteți lega tpws la 127.0.0.1 și îl puteți înlocui în regulile iptables „DNAT 127.0.0.1” la „REDIRECT”, dar este mai bine să instalați un nucleu mai recent. Este în depozitul stabil:

apt - obțineți actualizare

apt - get install linux - imagine - 3.16

Instalați pachete:

Colectați tpws:

Creați o linie „0 12 * * */2 /opt/zapret/ipset/get_antizapret.sh”. Aceasta înseamnă actualizarea listei la ora 12:00 la fiecare 2 zile.

Porniți serviciul: service blocat pornire
Incearca sa mergi undeva: http://ej.ru, http://kinozal.tv, http://grani.ru.
Dacă nu funcționează, atunci opriți serviciul zapret, adăugați manual o regulă la iptables,
rulați nfqws într-un terminal sub root cu parametrii necesari.
Încercați să vă conectați la site-uri blocate, urmăriți ieșirea programului.
Dacă nu există niciun răspuns, atunci cel mai probabil numărul de coadă este incorect sau ip de destinație nu este în ipset.

Dacă există o reacție, dar blocarea nu este ocolită, înseamnă că parametrii de ocolire au fost selectați incorect sau acest instrument nu funcționează în cazul dumneavoastră la furnizorul dumneavoastră.

Nimeni nu a spus că asta va funcționa peste tot.
Încercați să faceți o gură în Wireshark sau „tcpdump -vvv -X gazdă » , vedeți dacă primul segment TCP este într-adevăr scurt și dacă registrul „Host:” se modifică.

Un exemplu de ocolire a unui bloc de site pe Ubuntu 12.14

Există o configurație gata făcută pentru parvenit: zapret.conf. Trebuie copiat în /etc/initși configurați-l similar cu Debian.
Pornirea serviciului: "începe blocat"
Opriți serviciul: "opriți interdicția"
Ubuntu 12, ca și Debian 7, este echipat cu nucleul 3.2. Consultați nota din secțiunea „debian 7”.

Exemplu de ocolire a blocării site-ului pe ubuntu 16, debian 8

Procesul este similar cu Debian 7, dar necesită înregistrarea scripturilor init cu systemd după ce le copiați în /etc/init.d.
instalați: /usr/lib/lsb/install_initd zapret
eliminați: /usr/lib/lsb/remove_initd zapret

Un exemplu de ocolire a blocării site-ului web pe alte sisteme Linux.

Există mai multe sisteme principale de pornire a serviciilor: sysvinit, upstart, systemd.
Setarea depinde de sistemul utilizat în distribuția dvs.
O strategie tipică este să găsești un script sau o configurație pentru lansarea altor servicii și să scrii pe al tău într-un mod similar, dacă este necesar citind documentația de pe sistemul de lansare. Comenzi necesare pot fi preluate din scripturile propuse.

Configurarea unui firewall pentru a evita blocarea site-ului.

Dacă utilizați un fel de sistem de gestionare a paravanului de protecție, acesta poate intra în conflict cu scriptul de lansare existent. În acest caz, regulile pentru iptables trebuie să fie atașate la firewall-ul dumneavoastră separat de scriptul de lansare tpws sau nfqws.
Exact așa se rezolvă problema în cazul openwrt, deoarece are propriul sistem de gestionare a firewall-ului - nfqueue iptables - mod - filter iptables - mod - ipopt ipset curl bind - instrumente.

Cea mai mare provocare este compilarea programelor C.
Acest lucru se poate face folosind compilarea încrucișată pe orice sistem Linux tradițional.
Citit compile/build_howto_openwrt.txt.
Sarcina ta este să obții ipk dosare pentru tpws și nfqws.
Copiați directorul "interzis" V /opta la router.
Instalați ipk. Pentru a face acest lucru, mai întâi copiați-l pe router ipk la /tmp, Apoi

Aceasta înseamnă actualizarea listei la ora 12:00 la fiecare 2 zile.

Dacă aveți Linux x64, atunci în loc să compilați lanțul de instrumente, puteți utiliza SDK-ul pre-compilat de la dezvoltatorii openwrt.
https://downloads.openwrt.org/
Găsiți versiunea dvs. de openwrt, găsiți arhitectura, descărcați fișierul „OpenWrt-SDK-*”.
De fapt, acesta este același buildroot, doar că are deja un lanț de instrumente pregătit pentru versiunea cerută openwrt, arhitectura țintă necesară și sistemul gazdă Linux x64.

Binare precompilate

Compilarea pentru routere poate fi o sarcină descurajantă, care necesită cercetare și căutarea pe google pentru „eșecuri ieșite din cutie” în SDK-ul openwrt.
Există unele binare lipsă, unele link-uri lipsă și, ca urmare, SDK-ul poate produce erori din cutie. Binarele statice au fost colectate pentru cele mai comune arhitecturi. Vezi binare.

Asamblarea statică înseamnă că binarul nu depinde de tipul libc (uclibc sau musl) și de prezența acestuia - poate fi folosit imediat.
Atâta timp cât tipul de procesor este potrivit. ARM și MIPS au mai multe versiuni. Dacă versiunea dvs. produce erori la pornire, va trebui să o compilați singur pentru sistemul dvs.

Ocoliți blocarea https

De regulă, trucurile DPI nu ajută la ocolirea blocării https.
Trebuie să redirecționați traficul printr-o gazdă terță parte. Se propune utilizarea redirecționării transparente prin socks5 folosind iptables+redsocks sau iptables+iproute+openvpn. Configurarea opțiunii de la redsocks la openwrt este descrisă în https.txt.

Toate sursele aceasta metoda poate fi găsit aici - https://github.com/bol-van/zapret

Ultima actualizare până la 18 noiembrie 2016.

Să începem cu definiții.

BRAS – router în rețelele de acces în bandă largă (Broadband Remote Access Server). În esență, acesta este un echipament terminal din partea furnizorului, conceput pentru accesul direct al utilizatorului la Internet.

DPI (Deep Packet Inspection) – tehnologie de colectare a datelor statistice, verificare și filtrare pachete de rețea conform continutului lor. Este după conținut, și nu după antetul pachetului, deși acesta din urmă este posibil.

Cum funcționează BRAS șiDPI ajuta la mentinerea numarului de abonati?

Pentru a răspunde la această întrebare, trebuie să înțelegeți de ce pleacă clienții. Nu este un secret pentru nimeni că clienții vin pentru un preț mic și pleacă din cauza calității proaste a serviciilor. Acest lucru se datorează de obicei pierderii de pachete sau latenței la nivelul BRAS. Pot fi multe motive, dar cele mai frecvente sunt productivitatea insuficientă hardware(încărcarea procesorului, probleme cu adaptorul de rețea), probleme de software (OS neoptimizat, software selectat incorect).

Prima problemă poate fi rezolvată prin modernizarea echipamentului, dacă este posibil. Rezolvarea celei de-a doua probleme poate dura destul de mult. Trebuie remarcat faptul că rezolvarea ambelor probleme poate implica schimbări la scară largă în rețeaua operatorului de telecomunicații.

Pe lângă problemele legate de calitatea serviciilor, un rol important joacă legislația rusă, nerespectarea acesteia poate duce la amenzi mari și, în cazuri speciale, la revocarea licenței. Licența poate fi retrasă în trei cazuri:

  • utilizarea echipamentului necertificat;
  • încălcarea cerințelor SORM-3;
  • asigurarea accesului la resurse interzise (FZ-139, FZ-187, FZ-398, FZ-114).

Cred că răspunsul la întrebarea pusă anterior este evident: utilizarea de echipamente moderne certificate de înaltă performanță, cu software iar conformitatea cu legislația rusă este un garant al păstrării și creșterii bazei de abonați, precum și al „securității” licenței de a furniza servicii telematice.

Problema vitezei reduse a fost rezolvată, dar folosind DPI puteți monitoriza și comportamentul abonaților. De îndată ce utilizatorul începe să studieze tarifele altor furnizori de internet, sistemul DPI va anunța administratorul despre acest lucru. Da, da, nu este dificil să aflați istoricul vizitelor dvs. - este dificil să intrați într-un pachet de trafic, în special unul criptat, dar cel mai adesea acest lucru nu este necesar. Și apoi este suficient să schimbați manual setările de facturare, astfel încât totul să „zboare” pentru abonat sau să îi trimiteți o scrisoare cu o „ofertă specială”. Mai mult, DPI-urile moderne pot să prioritizeze traficul, adică să facă lățimea de bandă mai largă pentru navigarea pe web, de exemplu, și să limiteze viteza torrenților.

Ce tipuri de BRAS există și cât costă pentru operatorul de telecomunicații?

De obicei, o piesă de echipament acționează ca BRAS, iar o altă piesă acționează ca DPI.

BRAS poate fi împărțit în grupuri în funcție de performanță și cost. La rândul său, execuția poate fi software și hardware, la un cost - plătit și gratuit.

Software destul de comun Sursa deschisa soluțiile (gratuite) sunt:

  • Accel-ppp (disponibil pentru majoritatea versiunilor de Linux);
  • mpd5 – disponibil în sursă pentru sistemul de operare FreeBSD.

Soluțiile care sunt gratuite în etapa de instalare necesită ulterior personal calificat pentru a le întreține. În plus, opțiunile BRAS de mai sus nu pot efectua o analiză profundă a traficului.

Soluțiile comerciale pot fi fie software, fie hardware.

Numeroase soluții hardware sunt oferite de Cisco în seriile 6XXX și 7XXX și Juniper Networks în seria MX. Produsele Huawei ME60 câștigă și ele popularitate.

Prețul minim pentru echipamentul folosit începe de la 100 de mii de ruble. Această sumă include șasiul, placa de control performanță minimă si sursa de alimentare. Upgrade-ul se face prin înlocuirea plăcii de control și a modulelor aferente, care se achiziționează separat. Prețul maxim al hardware-ului BRAS poate ajunge la câteva milioane de ruble, iar performanța declarată rămâne adesea doar pe hârtie.

Pe lângă router, va trebui să achiziționați un DPI. Costul DPI de la Cisco pe piața secundară, în special Cisco SCE8000-2X10G-E, este de aproximativ 2,5 milioane de ruble.

Costul total al unor astfel de sisteme nu este limitat. Consumul de energie DPI hardware este de aproximativ 1000–1600 de wați, dimensiunea montabilă în rack este de 5U. Consumul minim de energie al BRAS este de la 500 W, dimensiunea montabilă în rack este de 3U. În cele din urmă, obținem un monstru cu o dimensiune minimă de 8U și un consum de energie de cel mai bun scenariu 1,5 kW de energie.

Este posibil să combinați BRAS și DPI într-un singur echipament?

Da, există astfel de soluții. Dar nu există mulți producători de astfel de soluții pe piața rusă. Majoritatea nu se deranjează propria dezvoltare, dar cumpără un motor străin licențiat - cu toate „găurile” pentru serviciile de informații străine. Singurii care au creat sistemul de la zero sunt experții VAS cu SKAT DPI multifuncțional. Soluția este atât de populară încât a fost deja instalată de peste 600 de furnizori - citiți aceste rânduri, iar pagina a trecut prin VMSAT DPI.

Avantajele SKAT DPI

  • Spre deosebire de hardware BRAS cu propriul firmware specializat, aceasta este o soluție universală. Software-ul SKAT DPI poate fi instalat pe orice server cu arhitectură x86-64, inclusiv pe cele deja existente în organizație.
  • Aveți propriul server RADIUS, dar puteți folosi unul terță parte.
  • Procesarea automată a listei site-urilor interzise din Roskomnadzor și Ministerul Justiției (FZ-139, FZ-187, FZ-398, FZ-114), inclusiv suport pentru o listă albă.
  • Certificat de SSS – Nr. OS-3-SPD-1538.
  • Testat de Roskomnadzor (document) în ceea ce privește filtrarea traficului de internet pentru operatorii de telecomunicații pentru a limita accesul la resursele interzise și pentru a respecta legislația rusă.
  • Sprijin pentru IS SORM-3 (respectarea cerințelor Decretului Guvernului Federației Ruse din 27 august 2005 nr. 538).
  • Prefiltru pentru SORM, extractor pentru SORM-2 și SORM-3.
  • Suport IPv6 complet, inclusiv nating.
  • Spațiul ocupat în rack este de la 1U, consumul minim de energie este de la 300 W.
  • Îl poți testa înainte de a cumpăra propria retea pentru a asigura calitatea lucrării.
  • Dacă se dorește, poate fi integrat în rețeaua furnizorului exclusiv ca DPI.
  • Costul nu depinde de cursul de schimb.
  • Suport tehnic vorbitor de limba rusă.

De asemenea, trebuie remarcat faptul că SKAT este în mod constant modernizat nu numai pentru a răspunde nevoilor legislației ruse, ci și pentru a cerințe moderne Securitate. La rândul său, software-ul intern se află sub protecția statului.

Complexul hardware și software SKAT-DPI este disponibil în trei opțiuni de configurare:

  • Intrare– numai filtrarea traficului în conformitate cu cerințele legislației federale.
  • Baza– Intrare + capabilități opțiuni suplimentare: prefiltru SORM, gestionarea lățimii de bandă și prioritizarea traficului, trimiterea de notificări către abonați.
  • Complet– Capacități de bază + management flexibil al abonaților, suport pentru liste albe, protecție CG-NAT și DDoS.

Concluzii?

În condiții de concurență acerbă, calitatea serviciilor oferite arată atitudinea față de sursa de venit - clienții. Este simplu: furnizorii de internet luptă pentru tine, clienții lor și investesc sume uriașe de bani în sisteme de management al traficului. Dacă aveți probleme, scrieți la suport tehnic, sunați linia fierbinte. Un furnizor bun va avea întotdeauna fezabilitate tehnică fă-ți conexiunea la Internet mai rapidă și mai stabilă.

Conceput pentru a filtra traficul pe Internet și a bloca conținutul ilegal, sistemele DPI oferă un set de instrumente bogat pentru operarea operatorilor și servicii de marketing, consideră Alexander Orlov, expert la Centrul pentru Soluții de Rețea de la Jet Infosystems.

Piața rusă a sistemelor DPI (inspecție profundă a pachetelor - acumulare de date statistice, verificare și filtrare a pachetelor de rețea în funcție de conținutul lor) este relativ tânără. Ce factori și factori inhibitori ai dezvoltării sale pot fi identificați?

Primul motor este conceptul de dezvoltare a rețelelor 3G și 4G adoptat de 3GPP (3rd Generation Partnership Project), al cărui element integral sunt sistemele DPI. În Rusia, creșterea interesului față de aceste sisteme în urmă cu un an și jumătate până la doi ani a fost stimulată de legislația care impunea operatorilor să restricționeze accesul abonaților la conținutul ilegal de pe Internet. DPI realizează o analiză aprofundată a traficului și asigură implementarea acestora în conformitate cu sarcinile atribuite. Astfel, o adresă IP poate conține 3 mii de domenii, dintre care doar unul conține conținut ilegal. El este cel care trebuie blocat. Și numai DPI îl poate „prinde” și bloca accesul la el. Toate legile care impun filtrarea traficului și blocarea resurselor Internet sunt, într-un fel sau altul, legate de soluțiile DPI sau „near-DPI”. Prin acestea din urmă mă refer la soluții care inițial nu au fost destinate filtrarii, dar acum sunt adaptate pentru a rezolva această problemă, întrucât soluțiile industriale DPI disponibile pe piață, de regulă, nu se încadrează în bugetele companiilor mijlocii și mici. .

- Ce explică „prețul de emisiune” ridicat?

Soluția hardware și software DPI vă permite să procesați volume enorme de trafic - 100−200−300 Gbit/s. Aceasta este cu adevărat o soluție de calitate operator, iar costul sistemelor pentru fiecare dintre cei trei jucători principali de pe piața rusă DPI (Allot Communications, Procera Networks, Sandvine) se ridică la sute de mii de dolari pentru operatorii mari. Pentru nu mare operator prețul nu va depăși 100 de mii de dolari, dar aceasta este deja o sumă critică pentru el. Prin urmare, operatorii mici sunt nevoiți să caute modalități alternative, să folosească soluții „genunchiere” etc. Într-un fel sau altul, trebuie să vină cu ceva, pentru că legislația noastră este destul de strictă cu operatorii care nu respectă cerințele 139-FZ (legea „listelor negre”), 149-FZ (de informare, informare). protecția tehnologiei și a informațiilor) , 187-FZ („legea antipiraterie”).

- Operatorii atât de mici pot lua DPI ca serviciu de la cei mari?

Un operator mare, din câte știu, are deja clienți pentru un astfel de serviciu - furnizori „din aval”. Pentru ei, aceasta este o oportunitate de a nu cheltui multi bani pentru a-ți cumpăra propria soluție și operator major poate astfel monetiza o soluție de blocare a traficului deja implementată.

- Pe lângă sabia pedepsitoare a legii, ce alți factori conducători există pentru implementarea sistemelor DPI?

- Poate fi instalat sistemul DPI o dată pentru totdeauna și „a uitat” de el?

Acest lucru ar fi ideal pentru toată lumea. Dar dacă sistemul este utilizat în scopul propus, pentru a recunoaște și clasifica traficul, și nu doar pentru a aplica litera de lege, atunci semnăturile trebuie actualizate în mod constant. Aplicațiile și traficul se schimbă tot timpul - și aproape nimeni nu este interesat de o soluție care într-un an nu va putea „vedea” ce trafic trece prin rețea, ce aplicație ocupă cât spațiu în rețea. canal general containere etc.

Operatorii care au construit rețele 3G și acum construiesc 4G vor putea folosi sisteme DPI deja implementate pe rețele noi?

Pentru operator, teoretic, nimic nu ar trebui să se schimbe. Este posibil ca soluția să fie mai puternică, deoarece va trece mai mult trafic prin rețea, dar nu văd o problemă cu aceeași infrastructură, deoarece punctul de ieșire din rețea va fi același.

Evident, utilizarea DPI este destinată pieței de masă. Sunt aceste sisteme irelevante pentru sectorul corporativ?

Soluțiile DPI sunt încă puțin solicitate în rândul clienților corporativi. Cu toate acestea, acum apare DPI Next Generation - carduri obișnuite PCI Express, care sunt inserate în server, pe care este instalat și motorul software și toate funcționează împreună. Prețul problemei este redus semnificativ, dar și funcționalitatea scade. Un astfel de dispozitiv nu va putea gestiona 50-100 Gbit/s de trafic, dar pentru o rețea corporativă 3-4 Gbit/s vor fi de ajuns. Lucrăm cu producătorii de astfel de soluții și sperăm să le primim pentru testare în viitorul apropiat. Cred că vor fi de interes pentru clienții corporativi.

- Care este rolul integratorilor de sisteme pe această piață?

Integratorii de sistem acționează ca consultanți, furnizori, designeri și pot îndeplini, de asemenea, funcții de suport tehnic de primă linie pentru client. Niciunul dintre cei „trei mari” furnizori DPI nu are propriul birou de reprezentare fizică în Rusia (un birou cu personal, cu un serviciu de suport tehnic). Dacă apare o problemă gravă, integratorul trimite o solicitare vânzătorului, care o prelucrează în laboratorul său și transferă soluția partenerului integrator. Și el, la rândul său, către client.

- Cât de ridicat este nivelul concurenței între integratori în segmentul DPI?

Concurența activă începe acum, iar cel mai semnificativ avantaj competitiv este experiența în implementarea unor astfel de proiecte și practică. Sunt încă puțini specialiști pe piață care au competențe DPI, știu să lucreze cu ele și, cel mai important, înțeleg pentru ce sunt necesari. Desigur, este important ca un integrator de sisteme să aibă un colectiv de specialiști cu calificările necesare. Specialiștii companiei noastre, de exemplu, au fost instruiți de furnizori și au cunoștințele necesare.

Dar tot cred că experiența este factorul decisiv. De exemplu, am finalizat un proiect de creare a unei platforme de management al traficului bazată pe utilizarea tehnologiilor DPI pentru VimpelCom. În timpul căreia am instalat și configurat sisteme software și hardware DPI PacketLogic de la Procera Networks pe 40 dintre cele mai aglomerate noduri din rețeaua backbone. Și la finalizarea instalării, am format reguli și politici, am activat funcția de colectare a statisticilor, pe baza cărora regulile de gestionare a traficului au fost ajustate pentru fiecare oraș specific. Cu alte cuvinte, am asigurat partea intelectuală și expertiza, precum și trasarea perspectivelor de dezvoltare a proiectului, deoarece soluția implementată, în esența ei, este foarte Unealtă puternică, permițând operatorului să efectueze o analiză calitativă și cantitativă a structurii traficului, să o gestioneze eficient, să optimizeze sarcina pe canalele rețelei principale și, ca urmare, să îmbunătățească calitatea serviciilor oferite abonaților.

În plus, compania are o experiență semnificativă în implementarea proiectelor în industria telecomunicațiilor, finalizate pentru operatori de telecomunicații de top din Rusia și țările CSI.

Până acum, cei trei mari au implementat deja sisteme DPI, Rostelecom intenționează să finalizeze implementarea în 2014. Dar în Rusia avem peste 80 de mii de licențe active pentru servicii de comunicații.

Aș reduce această cifră cel puțin la jumătate, dar în orice caz piața potențială este foarte mare. Există o mulțime de operatori mici, chiar dacă doar la Moscova. Cred că un nou val de cerere pentru DPI va crește foarte curând. Acum piața este în faza de a aștepta acest val și de a se pregăti pentru el.

Intervievat de Lilia Pavlova



Vă recomandăm alte articole
Cele mai bune programe pentru a vă defragmenta hard disk-ul pe Windows
Cele mai bune programe pentru a vă defragmenta hard disk-ul pe Windows
YouTube: cum să scrieți comentarii în
YouTube: cum să scrieți comentarii pe YouTube pentru un videoclip Cum să adăugați comentarii pe YouTube
Reparație telefon Meizu în aceeași zi Cele mai frecvente apeluri către centrul nostru de reparații Meizu
Reparație telefon Meizu în aceeași zi Cele mai frecvente apeluri către centrul nostru de reparații Meizu