Переход от TCP к QUIC. Сигнатуры СКАТ

18.04.2022 | VAS Experts

Кратко о QUIC

QUIC — транспортный протокол связи, который считается заменой TCP за счет большей надежности, безопасности и уменьшенной задержки и работает поверх UDP. Эту технологию создали разработчики Google и изначально называли её «HTTP/2-encrypted-over-UDP».

В процессе стандартизации организацией IEFT QUIC разделился на транспортный и HTTP протоколы. С помощью транспортного QUIC передаются не только HTTP данные, но и другие — этой разработкой занимается рабочая группа QUIC Working Group.

QUIC подразумевает обязательное шифрование трафика: для этого использует TLS 1.3 для установки ключей сессии, а затем шифрования каждого пакета. Но поскольку он основан на UDP, значительная часть информации о сессии и метаданных, открытых в TCP, шифруется в QUIC.

QUIC TCP UDP

Как СКАТ обрабатывает QUIC

До появления QUIC детектирование шифрованных соединений HTTPS происходило с учетом SNI (Server Name Indication), который передавался в открытом виде при обращении клиента к серверу.

Стандарт QUIC от IETF вводит шифрование SNI, что усложняет детектирование хоста, к которому осуществляется подключение. С версии СКАТ 11.2 стала доступна дешифровка SNI при установлении соединения по протоколу QUIC IETF. Эта возможность позволила разбить соединения по протоколу QUIC IETF на отдельные сигнатуры, у которых транспортом является QUIC.

Распределение трафика в обещм канале

Мы видим, что в общем канале присутствуют как HTTP/HTTPS, так и QUIС/QUIC IETF протоколы. Это говорит нам, что идет плавный переход на новые стандарты. Выделение приложений, которые базируются на этих протоколах, осуществляется по имени доменов хостов, на которых располагается контент, например, YOUTUBE, TWITTER, FACEBOOK, INSTAGRAM.

Сигнатуры СКАТ

Под сигнатурами подразумеваются шаблоны поиска в трафике, которые загружаются в движок DPI. По ним осуществляется постоянное сканирование всех IP пакетов с целью определения принадлежности Flow (IPscr:port — IPdst:port) к тому или иному приложению/протоколу/сигнатуре.

Подробнее о сигнатурах в СКАТ мы рассказывали на вебинаре.

Сигнатуры в СКАТ делятся на две группы

  1. Общие
  2. Кастомные или Программируемые.

Виды сигнатур

Общие сигнатуры

Добавляются и модифицируются только разработчиками VAS Experts. Загружаются в СКАТ при обновлении версии ПО СКАТ.

Кастомные сигнатуры

Добавляются пользователем через GUI СКАТ с использованием личного кабинета в VAS Cloud.

vas cloud

Кастомная сигнатура определяется по IP или имени домена хоста (SNI), с которым взаимодействует пользователь. Все Flow с этими параметрами маркируются соответствующей сигнатурой, в дальнейшем ее можно определить в один из восьми классов полисинга, пропустить без обработки или заблокировать.

Поделиться в социальных сетях