Варианты использования DPI. Часть 2

pic1

В первой части статьи мы рассмотрели технические сценарии, которые позволяют операторам с использованием DPI (deep packet inspection) обеспечивать высокое качество услуг и сокращать затраты на развитие сети.

Теперь рассмотрим варианты использования, которые направлены на взаимодействие с пользователем, маркетинговый результат, обеспечение безопасности и выполнение законодательных норм:

  • Поведенческая оценка абонентов.
  • Уведомление абонентов.
  • Запрещение ресурсов (белый и черный списки).
  • Защита, перехват трафика, предфильтр СОРМ.

6. Поведенческая оценка абонентов

Каждый пользователь Сети уникален. Он выходит в Интернет в определенное время, пользуется одним из браузеров, ходит по интересным для него сайтам, смотрит комедии или ужасы, сидит «ВКонтакте» или «Фейсбуке», пользуется торрентами или онлайн-кинотеатрами. Система DPI может собрать всю эту информацию, не нарушая личных прав абонента, и показать ее в наглядном виде оператору. Зачем?

pic2

Использовать эту информацию можно большим числом способов, в первую очередь для улучшения качества предоставляемых услуг.

Если знать предпочитаемый пользователем контент, можно настроить ему приоритет по трафику. В зависимости от того, в какое время абонент пользуется Интернетом, можно увеличить или уменьшить полосу пропускания для остальных. Самые посещаемые ресурсы можно кешировать или не ограничивать скорость доступа к ним в ущерб менее популярным.

Если пользователь начал посещать сайты конкурентов оператора, можно предложить ему тариф дешевле.

В руках опытного маркетолога собранная информация может стать инструментом для увеличения числа абонентов и дохода компании.

7. Уведомление абонентов

Функция, которая позволяет оператору передавать сообщения абоненту во время работы в Интернете. Пользователь вводит адрес сайта, который хочет посетить, и видит в браузере сообщение от оператора, сменяемое через несколько секунд запрашиваемой страницей.

pic3

Сообщение может содержать как информацию от оператора (изменение в тарифе, регламентные или аварийные технические работы, специальные предложения), так и экстренные сообщения от государственных структур (предупреждение о ЧС).

Такой способ оповещения охватывает очень широкую аудиторию, так как почти 60 % людей по крайней мере раз в день выходят в Интернет, а также снижает затраты на другие способы оповещения (SMS, телефонный звонок).

 8. Запрещение ресурсов (белый и черный списки)

Всем операторам связи на территории РФ с 2012 года необходимо выполнять требования ФЗ-139. Закон требует от провайдеров следить за федеральными реестрами запрещенных веб-ресурсов и своевременно их блокировать. Чтобы выполнять эти требования, оператор должен постоянно проверять актуальные записи в реестре и фильтровать трафик с запрещенных сайтов.

pic4

Ручная загрузка файла реестра и фильтрация по IP-адресу – недостаточно эффективный способ, так как требует нагрузки на персонал из-за ручных операций и допускает большое число ошибок в связи с изменением адреса запрещенного сайта или его IP. Использование DPI-технологии с фильтрацией по URL в автоматическом режиме (загрузка списков Роскомнадзора и Министерства юстиции) дает наилучший результат, так как она разбирает все проходящие через нее пакеты и определяет их принадлежность и заголовки к запрещенным ресурсам.

При исчерпании средств на счету абонента его можно переадресовать в личный кабинет для оплаты, разрешив доступ на страницу платежных систем и ограничив ко всем остальным сайтам. Также в белый список могут входить сайты социальных сетей, внутренние сетевые ресурсы и другие, на которые оператор предоставляет доступ при отрицательном балансе.

9. Защита, перехват трафика, предфильтр СОРМ

 Так как DPI пропускает через себя и фильтрует весь трафик, защита абонентов и вычислительных систем в облаке становится для нее одной из непосредственных задач. Основными направлениями защиты являются:

  • Спам-боты (выявляются на основе анализа SMTP трафика).
  • DoS- и DDoS-атаки (выявляются по аномалиям трафика).
  • Заражение червями (выявляется по сигнатурам).

Защита от спама реализуется путем блокирования отправителя, когда с одного адреса генерируется чрезмерно большое число SMTP-соединений.

pic5

DoS- (Denial of Service – отказ в обслуживании) и DDoS-атаки (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании») приводят к переполнению арендуемой клиентом полосы (забивание трафиком). Атакующий обычно старается замаскировать свой IP-адрес, чтобы его невозможно было заблокировать, либо атака производится с большого числа компьютеров одновременно из организованной заранее сети ботов. Неожиданное падение сетевого ресурса вследствие загрузки полосы пропускания – это финансовые потери для его владельца, невыполнение условий предоставления безотказного доступа для хостера, ухудшение репутации оператора.

Система DPI позволяет защититься от TCP SYN Flood и Fragmented UDP Flood.

Атака SYN flood вызывает повышенный расход ресурсов атакуемой системы, так как на каждый входящий SYN-пакет система должна зарезервировать определенные ресурсы в памяти или сгенерировать. 100 000–500 000 пакетов в секунду – и система становится недоступной, а злоумышленник при канале в 1 Гб/с может послать в атаку более 1 000 000 пакетов в секунду.

DPI обнаруживает превышение порога SYN-запросов, сама вместо сайта отвечает на них, и организуется TCP-сессия с защищаемых сайтов после подтверждения запроса клиентом.

Fragmented UDP Flood атака осуществляется фрагментированными udp-пакетами, обычно небольшого размера, на сборку и анализ которых атакуемая платформа вынуждена тратить много ресурсов.

DPI отбрасывает неактуальные для защищаемого сайта протоколы или ограничивает их по полосе пропускания (для веб-сайта остаются только протоколы HTTP и HTTPS).

pic6

При защите от DDoS-атак часто применяются различные поведенческие стратегии (behavioral DDoS protection), которые позволяют определить отклонения в нормальном поведении. Но с помощью системы глубокого анализа трафика можно использовать более простой и эффективный подход – использование теста Тьюринга (странички с CAPTCHA от англ. Completely Automated Public Turing test to tell Computers and Humans Apart), который позволяет определить, человек или компьютер осуществляет запрос к ресурсу.

Если количество запросов к сайту превышает пороговое значение, пользователю предлагается ввести слово с картинки. Если тест пройден, пользователь заносится в белый список и может дальше работать с сайтом. Если тест провален, то бот не может продвинуться дальше и совершить атаку на сайт.

Еще одной дополнительной функцией DPI может стать помощь системе технических средств для обеспечения функций оперативно-розыскных мероприятий (СОРМ). Ее возможность проводить запись сетевого трафика в реальном времени (необходима для поддержки будущего стандарта СОРМ-3) может использоваться для мониторинга трафика в целях диагностики и анализа угроз безопасности. Перехваченный по определенным протоколам, IP-адресам или подсетям (CIDR) трафик записывается на дисковый накопитель.

pic7

А возможность использования DPI в качестве предфильтра снижает нагрузку на оборудование СОРМ за счет того, что отсекает все не представляющие интереса протоколы (torrent, youtube, mpeg, flash и т. п.). В результате трафик сокращается более чем на 50 %, что позволяет использовать одно устройств СОРМ вместо двух.

Мы рассмотрели основные сценарии использования системы DPI. В следующих статьях разберем реальные примеры их внедрения.

Поделиться в социальных сетях