DPI: зачем операторы связи устанавливают системы анализа трафика

Сегодня речь пойдет о Deep Packet Inspection (DPI). Это технология, которую используют операторы связи для анализа трафика. А также — о методах, применяемых в DPI, и о том, как именно с помощью них происходит фильтрация. Также мы расскажем о смежных задачах, которые могут решать системы DPI, в том числе в области маркетинга и управления качеством предоставления услуг связи. Так как именно грамотный маркетинг и гарантия предоставления качественных услуг помогает операторам связи удерживать абонентов и привлекать новых клиентов. И, наконец, затронем одну из сложных технических частей — переход от DPI к многофункциональным устройствам, таким как NAT и BRAS.

Глубокий анализ трафика (DPI)

Deep Packet Inspection или DPI — это технология накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому. В DPI применяют несколько методов анализа трафика, среди них наиболее используемые — эвристический и сигнатурный анализ. Эвристический анализ — способность обнаруживать вредоносные программы в трафике, которые неизвестны антивирусам. Является частью сигнатурного анализа. В свою очередь сигнатурный анализ представляет собой исследование трафика с помощью «подписей» (англ. signature — подпись) и состоит из следующих методов:

1. Анализ образца (Pattern analysis)
2. Числовой анализ (Numerical analysis)
3. Поведенческий анализ (Behavioral analysis)
4. Эвристический анализ (Heuristic analysis)
5. Анализ протокола/состояния (Protocol/state analysis)

Особенность анализа трафика системами DPI — работа на всех уровнях модели OSI. На рисунке 1 изображено, что под деятельность DPI попадают сеансовый, представительский и прикладной (L5 — L7) уровни модели OSI, DPI способен фильтровать трафик на транспортном и сетевом уровнях (L3 — L4), но именно работа на уровнях L5 — L7 делает эти системы более точными по сравнению с другими сетевыми устройствами.

рисунок 1. DPI и модель OSI

Каким образом осуществляется фильтрация трафика?

В системах глубокого анализа трафика, таких как СКАТ DPI, фильтрация осуществляется созданием правил для «хождения» этого самого трафика, и впоследствии трафик либо доставляется до клиента, либо отбрасывается.

Система DPI контролирует поток сетевых данных, идентифицирует протоколы и приложения, осуществляет фильтрацию по URL, пресекает попытки проникновения и распространения вредоносного программного обеспечения. DPI выполняет важные функции по обеспечению безопасности путем проверки входящих пакетов, анализируя код и передаваемые данные после их разборки и декомпрессии на соответствие приложениям и сервисам. Если обнаружен вредоносный URL или фрагмент кода, система способна его полностью заблокировать.

Какие задачи решают операторы связи с помощью систем DPI

— Фильтрация URL-адресов

URL-фильтрация является базовой функцией безопасности и необходима для блокирования несанкционированных, а также запрещенных URL-адресов (например, по спискам Роскомнадзора и минюста в России). DPI-система операторского класса должна быть очень производительной и обрабатывать миллионы адресов в реальном времени. Для достижения таких скоростей необходима поддержка как литеральных строк, так и подстановочных символов. Для уменьшения сложности правил, которые регулируют этот процесс, система фильтрации должна поддерживать URL-нормализацию.

— Приоритизация трафика, иными словами — QoS

DPI будет маркировать трафик согласно заданным параметрам. В случае если весь трафик не будет «помещаться» в полосе пропускания — трафик с меньшим приоритетом будет отброшен.

Система DPI стоит на страже высокого качество предоставления услуг за счет управления трафиком абонента. Пользователь получает услугу, которая должна предоставляться идеально: без заикания звука или торможения видео, с мгновенной загрузкой сайтов и высокой скоростью скачивания файлов. Обеспечить высокое QoE (Quality of Experience) помогает функция QoS системы DPI.

Функция QoS системы DPI решает несколько задач:

— определение приоритетов и дифференцирование трафика;
— обеспечение равномерного потока трафика;
— гарантия качества и скорости доступа в интернет;
— предотвращение сетевых перегрузок.

Чтобы пользователь не замечал падения качества связи или снижения скорости в часы пик (вечернее время), с помощью настройки приоритетов системы DPI фоновым приложениям (торренты, загрузка файлов, обновления и т. п.) назначается низкий приоритет, а онлайн-видео, веб-браузингу, онлайн-играм — напротив, более высокий. Пользователь не замечает проблем с доступом и остается доволен предоставляемой услугой, а оператору связи нет необходимости вкладывать средства в повышение скорости UPLINK.

Более того, СКАТ DPI, например, может идентифицировать пакеты мессенджеров — Viber, WhatsApp, Telegram, Skype и других, что позволяет выделять их в отдельное правило и гибко настраивать политики доступа абонентов. Так оператор связи может позволить клиенту пользоваться мессенджером даже при нулевом балансе.

— Восприятие услуг связи конечным абонентом — QoE

Функция QoE системы СКАТ DPI обеспечивает сбор статистики для оценки качества восприятия услуг (Quality of Experience — QoE). Получаемая статистика накладывается на особые метрики для определения пользовательского опыта и принятия действий, направленных на улучшение качества услуг связи.

Показатели круговой задержки (RTT) дают информацию по задержкам от абонента, к абоненту, всего пути и медианы. Выгрузка статистики Full Net Flow по транспортным и прикладным протоколам дает распределение трафика по направлениям и AS. Также СКАТ DPI отображает статистику по перезапросам в момент использования интернета, количество сессий и устройств абонентов и число запросов с них на интернет-ресурсы.

Использование метрик с DPI помогает повысить лояльность абонентов, осуществлять мониторинг сети и увеличить доход от каждого абонента.

— Маркетинг

Помимо возможности делать отчеты в реальном времени о загрузке полосы пропускания и отображения графиков по каждому абоненту, системы DPI помогают проводить маркетинговые акции и использовать инструменты по борьбе с оттоком абонентов:

— проводить анкетирование и опросы удовлетворенности;
— сегментировать базу для предложения новых услуг;
— информировать абонентов о приближении к нулю;
— уведомлять абонентов через браузер о ЧС;
— повышать скорость тарифа для повышения QoE;
— бороться с теми, кто раздает интернет;
— таргетировать предложения в зависимости от профиля абонента.

От DPI к многофункциональному устройству

Развитие программной платформы системы СКАТ DPI позволило добавить ей новые функции, необходимые для работы любого оператора связи или интернет-провайдера. Благодаря этому появилась возможность уйти от громоздких маршрутизаторов, значительно увеличить свободное место в серверной стойке, снизить общее энергопотребление, ведь все функции могут работать внутри одной серверной платформы.

Интеграция в платформу сервисного шлюза BRAS реализует функцию терминации абонентов. Данное решение позволяет оператору широкополосного доступа осуществлять контроль доступа абонентов к сети Интернет и применять политики тарифных планов и дополнительных опций.

Работает в режимах L2 BRAS и L3 BRAS, поддерживает Dual Stack IPv6/IPv4, авторизацию IPoE, PPTP и PPPoE, функция Radius CoA, а также перенаправление пользователей в Captive Portal (блокировка).

Carrier-Grade NAT (CG-NAT) на системе DPI позволяет более эффективно использовать ограниченное адресное пространства IPv4 и упростить переход на IPv6-адресацию.У решения CG-NAT есть несколько достоинств, за которые его выбирают операторы для организации широкополосного доступа в интернет своих абонентов:

— EIM — технология, позволяющая для каждого сочетания частного IP-адреса и порта клиента гарантировать то же сочетание публичных IP-адресов порта.
— EIF отсеивает пакеты, которые не предназначены для внутреннего IP-адреса и порта, независимо от IP-адреса и порта внешнего сервера.
— Hairpinning позволяет одной машине в локальной сети за NAT получить доступ к другой машине в той же сети по внешнему адресу маршрутизатора.

Еще одним важным преимуществом CG-NAT является то, что у администратора сети есть возможность ограничивать количество портов TCP и UDP, которые может использовать абонент. Это позволяет эффективно распределять порты среди пользователей, а также защищаться от DDoS-атак, использующих ботнет-сети и забивающих все свободные порты абонента.

Поддержка Dual-Stack IPv4/IPv6 с авторизацией через Radius в системе СКАТ DPI позволяет одновременно выдавать абонентам IPv6- и IPv4-адреса с применением NAT-трансляций, что позволяет оператору экономить адресное пространство IPv4, а пользователю — получить возможность работы приложений по протоколу IPv6. Переход на протокол IPv6 неизбежен в скором будущем, и возможность системы DPI работать с ним уже сейчас — это значительный вклад в развитие сети оператора связи.

Кроме всего перечисленного, продукты СКАТ DPI от компании VAS Experts позволяют реализовать DLP-систему. Data Loss Prevention — разработка для предотвращения утечек конфиденциальной информации из корпоративной сети.

Опыт использования СКАТ DPI операторами связи Казахстана

Оператор связи Евразия-стар из города Рудный (Казахстан) использует СКАТ DPI для шейпинга клиентов. Система установлена «в разрыв» с применением карты Silicom 6×1Гб с bypass между коммутатором Cisco Catalyst 6509 и BRAS, обслуживает 3 аплинка. Из дополнительных функций задействован монитор событий Radius.

«За счет простоты развертывания решения сложностей при внедрении СКАТ DPI не возникло. Срок установки СКАТ DPI составил три дня. Нареканий по работе службы технической поддержки нет, все запросы обрабатываются оперативно. По цене у такого решения нет аналогов», — комментирует процесс внедрения СКАТ DPI технический специалист «Евразия-стар» Павел Бреусов.

Компания X-COMMUNICATION (X-COM) построила в городе Актау (Казахстан) высокоскоростную оптоволоконную сеть, но в определенный момент развития столкнулась с тем, что сетевое оборудование перестало соответствовать скорости и требованиям к качеству предоставляемых услуг. На протяжении нескольких лет для управления трафиком в X-COM использовали решение Cisco SCE, начиная с двух Cisco SCE 2000 и в дальнейшем заменив их на Cisco SCE-8000. Но с обработкой трафика начались проблемы, стало невозможно получить полную пропускную способность в абонентских пекеджах и даже passtrough-трафик «резался» без видимых на то оснований. Это стало плохо влиять на QoE — было принято решение переходить на СКАТ DPI.

Система установлена по схеме «в разрыв» для фильтрации всего проходящего через сеть интернет-провайдера абонентского трафика и выполняет следующие задачи:

— классификация трафика;
— приоритизация трафика аплинка/пользователей;
— captive portal;
— ограничение использования p2p-протоколов (торрентов).

«Самое главное преимущество СКАТ DPI перед другими системами заключается в быстрой и качественной работе по классификации трафика и его дальнейшей приоритизации. Это позволяет эффективно использовать UPLINK-канал от вышестоящего провайдера, а также поддерживать качество и скорость предоставления услуг абонентам», — делится опытом работы Роман Чучук, ТОО «X-COMMUNICATION».

Подведем итоги

Использование систем глубокого анализа трафика, таких как СКАТ DPI, позволяет выполнять как базовые функции по фильтрации и классификации трафика (что положительно сказывается на качестве предоставляемых абонентам услуг), так и повышает экономическую эффективность за счет объединения нескольких функций в одно устройство и проведения маркетинговых акций. Так как данное решение разработано в России, оно отлично работает в сетях операторов связи стран СНГ, а русскоязычная техподдержка помогает справиться с возникающими вопросами.