Теперь рассмотрим варианты использования, которые направлены на взаимодействие с пользователем, маркетинговый результат, обеспечение безопасности и выполнение законодательных норм:
- Поведенческая оценка абонентов.
- Уведомление абонентов.
- Запрещение ресурсов (белый и черный списки).
- Защита, перехват трафика, предфильтр СОРМ.
6. Поведенческая оценка абонентов
Каждый пользователь Сети уникален. Он выходит в Интернет в определенное время, пользуется одним из браузеров, ходит по интересным для него сайтам, смотрит комедии или ужасы, сидит «ВКонтакте» или «Фейсбуке», пользуется торрентами или онлайн-кинотеатрами. Система DPI может собрать всю эту информацию, не нарушая личных прав абонента, и показать ее в наглядном виде оператору. Зачем?
Использовать эту информацию можно большим числом способов, в первую очередь для улучшения качества предоставляемых услуг.
Если знать предпочитаемый пользователем контент, можно настроить ему приоритет по трафику. В зависимости от того, в какое время абонент пользуется Интернетом, можно увеличить или уменьшить полосу пропускания для остальных. Самые посещаемые ресурсы можно кешировать или не ограничивать скорость доступа к ним в ущерб менее популярным.
Если пользователь начал посещать сайты конкурентов оператора, можно предложить ему тариф дешевле.
В руках опытного маркетолога собранная информация может стать инструментом для увеличения числа абонентов и дохода компании.
7. Уведомление абонентов
Функция, которая позволяет оператору передавать сообщения абоненту во время работы в Интернете. Пользователь вводит адрес сайта, который хочет посетить, и видит в браузере сообщение от оператора, сменяемое через несколько секунд запрашиваемой страницей.
Сообщение может содержать как информацию от оператора (изменение в тарифе, регламентные или аварийные технические работы, специальные предложения), так и экстренные сообщения от государственных структур (предупреждение о ЧС).
Такой способ оповещения охватывает очень широкую аудиторию, так как почти 60 % людей по крайней мере раз в день выходят в Интернет, а также снижает затраты на другие способы оповещения (SMS, телефонный звонок).
8. Запрещение ресурсов (белый и черный списки)
Всем операторам связи на территории РФ с 2012 года необходимо выполнять требования ФЗ-139. Закон требует от провайдеров следить за федеральными реестрами запрещенных веб-ресурсов и своевременно их блокировать. Чтобы выполнять эти требования, оператор должен постоянно проверять актуальные записи в реестре и фильтровать трафик с запрещенных сайтов.
Ручная загрузка файла реестра и фильтрация по IP-адресу – недостаточно эффективный способ, так как требует нагрузки на персонал из-за ручных операций и допускает большое число ошибок в связи с изменением адреса запрещенного сайта или его IP. Использование DPI-технологии с фильтрацией по URL в автоматическом режиме (загрузка списков Роскомнадзора и Министерства юстиции) дает наилучший результат, так как она разбирает все проходящие через нее пакеты и определяет их принадлежность и заголовки к запрещенным ресурсам.
При исчерпании средств на счету абонента его можно переадресовать в личный кабинет для оплаты, разрешив доступ на страницу платежных систем и ограничив ко всем остальным сайтам. Также в белый список могут входить сайты социальных сетей, внутренние сетевые ресурсы и другие, на которые оператор предоставляет доступ при отрицательном балансе.
9. Защита, перехват трафика, предфильтр СОРМ
Так как DPI пропускает через себя и фильтрует весь трафик, защита абонентов и вычислительных систем в облаке становится для нее одной из непосредственных задач. Основными направлениями защиты являются:
- Спам-боты (выявляются на основе анализа SMTP трафика).
- DoS- и DDoS-атаки (выявляются по аномалиям трафика).
- Заражение червями (выявляется по сигнатурам).
Защита от спама реализуется путем блокирования отправителя, когда с одного адреса генерируется чрезмерно большое число SMTP-соединений.
DoS- (Denial of Service – отказ в обслуживании) и DDoS-атаки (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании») приводят к переполнению арендуемой клиентом полосы (забивание трафиком). Атакующий обычно старается замаскировать свой IP-адрес, чтобы его невозможно было заблокировать, либо атака производится с большого числа компьютеров одновременно из организованной заранее сети ботов. Неожиданное падение сетевого ресурса вследствие загрузки полосы пропускания – это финансовые потери для его владельца, невыполнение условий предоставления безотказного доступа для хостера, ухудшение репутации оператора.
Система DPI позволяет защититься от TCP SYN Flood и Fragmented UDP Flood.
Атака SYN flood вызывает повышенный расход ресурсов атакуемой системы, так как на каждый входящий SYN-пакет система должна зарезервировать определенные ресурсы в памяти или сгенерировать. 100 000–500 000 пакетов в секунду – и система становится недоступной, а злоумышленник при канале в 1 Гб/с может послать в атаку более 1 000 000 пакетов в секунду.
DPI обнаруживает превышение порога SYN-запросов, сама вместо сайта отвечает на них, и организуется TCP-сессия с защищаемых сайтов после подтверждения запроса клиентом.
Fragmented UDP Flood атака осуществляется фрагментированными udp-пакетами, обычно небольшого размера, на сборку и анализ которых атакуемая платформа вынуждена тратить много ресурсов.
DPI отбрасывает неактуальные для защищаемого сайта протоколы или ограничивает их по полосе пропускания (для веб-сайта остаются только протоколы HTTP и HTTPS).
При защите от DDoS-атак часто применяются различные поведенческие стратегии (behavioral DDoS protection), которые позволяют определить отклонения в нормальном поведении. Но с помощью системы глубокого анализа трафика можно использовать более простой и эффективный подход – использование теста Тьюринга (странички с CAPTCHA от англ. Completely Auto tell Computers and Humans Apart), который позволяет определить, человек или компьютер осуществляет запрос к ресурсу.
Если количество запросов к сайту превышает пороговое значение, пользователю предлагается ввести слово с картинки. Если тест пройден, пользователь заносится в белый список и может дальше работать с сайтом. Если тест провален, то бот не может продвинуться дальше и совершить атаку на сайт.
Еще одной дополнительной функцией DPI может стать помощь системе технических средств для обеспечения функций оперативно-розыскных мероприятий (СОРМ). Ее возможность проводить запись сетевого трафика в реальном времени (необходима для поддержки будущего стандарта СОРМ-3) может использоваться для мониторинга трафика в целях диагностики и анализа угроз безопасности. Перехваченный по определенным протоколам, IP-адресам или подсетям (CIDR) трафик записывается на дисковый накопитель.
А возможность использования DPI в качестве предфильтра снижает нагрузку на оборудование СОРМ за счет того, что отсекает все не представляющие интереса протоколы (torrent, youtube, mpeg, flash и т. п.). В результате трафик сокращается более чем на 50 %, что позволяет использовать одно устройств СОРМ вместо двух.
Мы рассмотрели основные сценарии использования системы DPI. В следующих статьях разберем реальные примеры их внедрения.