Dpi-ratkaisut syväpakettien tarkastusprocera-verkot. Mennään TCP-tasolle. Maksimaalinen asiakastyytyväisyys ja minimoida kustannukset
Tarjoamme sinulle haastattelun henkilön, joka tuntee laitteen ja sen työn erityispiirteet ensi käden. Keskustelimme hänen kanssaan tämänpäiväisessä keskustelussa viime aikoina internetin venäjänkielisen segmentin kannalta oleellisiksi tulleista asioista: valtion roolista ja sen verkkosensuurista, ja käsittelimme myös esimerkkejä. piilotettu ohjaus Internet ja yhteiskunta Kiinan esimerkillä.
Haastateltava itse halusi pysyä nimettömänä. Hän on entinen venäläinen IT-asiantuntija, joka on asunut Manner-Kiinassa 6 vuotta ja työskennellyt paikallisessa tietoliikenneyrityksessä vanhempana hallinto-insinöörinä. Tämä on vakava keskustelu verkkoteknologioista... käännetty itse verkkoa vastaan, samoin kuin globaalin verkon tulevaisuudesta ja yhteiskuntamme avoimuudesta.
Kyse ei ole enää edes Venäjän valtion aloitteista - yksityisiä yrityksiä on alkanut ilmestyä kuin sieniä, jotka tarjoavat omia ratkaisujaan verkon sensurointiin, samoja liikennesuodattimia Roskomnadzorin ja oikeusministeriön listojen mukaan, mm. tunnettu Carbon Reductor. Siksi kannattaa tarkastella tätä kiinalaista kokemusta kaikella vakavuudella ja huolella, jotta ymmärrämme etukäteen sen reiän koko syvyyden, johon he yrittävät työntää meitä niin ahkerasti.
– Kerro meille Suuresta kiinalainen palomuuri, jota kiinalaiset itse kutsuvat "kultaiseksi kilveksi", mitä se edustaa teknisesti? Mikä on sen päätarkoitus?
Tällä hetkellä nämä ovat kolme komponenttia, kolme lohikäärmettä, joihin se perustuu - Deep Packet Inspection (DPI), Connection Probe ja Support vector machines (SVM) -tekniikat. Yhdessä ne edustavat erittäin kehittynyttä suodatinta, joka estää pääsyn kommunistisen puolueen kieltämiin resursseihin ulkoisesta Internetistä.
Samalla viralliset ideologit väittävät, että sen pitäisi suojella kiinalaista psyykeä lännen korruptoivalta vaikutukselta, muiden mukaan tämä on suoranaista Internetin kansainvälisen osan valtionsensuuria.
— Tarkastellaanpa kutakin näistä osista tarkemmin. Joten mikä on Deep Packet Inspection?
Lyhyesti sanottuna tämä on tekniikka verkkopakettien matalan tason tarkastamiseen ja suodattamiseen niiden sisällön perusteella. Täällä sinun on välittömästi piirrettävä punainen viiva: perustavanlaatuinen ero jo tutuilta palomuureilta siinä mielessä, että DPI ei niinkään analysoi pakettien otsikoita (mitä se tietysti voi myös tehdä), vaan hautautuu kauttakulkuliikenteen sisältöön OSI-mallin tasoilla toisesta ja korkeammasta.
Haluan korostaa, että tämä kaikki tapahtuu reaaliajassa ja ulkopuolisen tarkkailijan näkökulmasta ei käytännössä ole havaittavissa viivästyksiä tai manipulaatioita liikenteessä.
— Venäjällä on viime aikoina kirjoitettu paljon DPI:n käyttöönotosta, paljon liittovaltion operaattorit(tämä pätee erityisesti matkapuhelinoperaattoreihin) jopa oletettavasti se on jo toimivassa muodossa. Voimmeko sanoa, että omaksumme Kiinan kokemuksen?
Venäläisellä ja kiinalaisella DPI:llä ei ole käytännössä mitään yhteistä kuin yhteinen nimi ja toimintaperiaatteet. Tässä on ensinnäkin kysymys niiden täytäntöönpanon laajuudesta ja vakavuudesta. Kuten aiemmin kuvatusta toimintatavasta käy ilmi, DPI kuluttaa paljon resursseja, koska kaikki sen suorittamat lukuisat toiminnot (esim. pakettien eheyttäminen, niiden purkaminen, tietotyyppien ja protokollien tunnistaminen, sisällön skannaus, lukuisat heuristiikka ja paljon muuta , paljon enemmän) on tapahduttava reaaliajassa. Siksi DPI:n vakavuuden pääkriteeri on kauttakulkuliikenteen analyysin syvyys, johon tällä järjestelmällä on varaa ylläpitää hyväksyttävää latenssitasoa.
Jos vedämme analogioita virustentorjuntatekniikoiden kanssa, kuinka syvälle suoritinemulaattori voi sukeltaa tarkistettavan tiedoston koodiin? Vaikka tekniset ominaisuudet ja resurssit mahdollistaisivat koodin jäljittämisen loputtomiin, uppoutuen yhä uusiin haaroihin ja menettelyihin, järjestelmän latenssin yleisillä vaatimuksilla on aina erityisiä rajoituksia, joten upotussyvyys on aina rajoitettu.
Usein tässä tilanteessa käytetään teknologista tai optimoivaa osaamista, mutta voit mennä toisinkin - yksinkertaisesti kasvattaa laskentatehoa radikaalisti. Joten kun puhumme kiinalaisesta DPI:stä, meidän on ymmärrettävä, että tämä on juuri viimeinen tapa - todellisuudessa se on todellisen alueellisen kaupungin kokoinen datakeskus, joka käyttää parviälyä (Swarm Intellegence) tasapainotuksen ja käsittelyn hallintaan. dataa sen lukemattomien osien-solmujen välillä.
Palatakseni kysymykseen - jos DPI:n kotimaiset toteutukset maksavat, kuten kuvittelen, jopa 50 miljoonaa dollaria, niin Kiinan kansallinen järjestelmä lähestyy noin miljardia. Venäläinen DPI ei teknisesti pysty suorittamaan todella syvällistä läpikulkupakettien analyysiä, mikä tarkoittaa, että pätevät käyttäjät voivat kiertää sen tietoturvaesteet monin eri tavoin. Siksi venäläinen DPI eroaa kiinalaisesta...
- Siirrytään toiseen kiinalaiseen lohikäärmeeseen - mikä on "yhteysanturi"?
Tämä on DPI:n jatkokehitys - välityspalvelimen ja matalan tason suodatusmekanismin yhdistäminen. Tässä tapauksessa yritettäessä muodostaa yhteys mihin tahansa palveluun kansallisen verkon yhdyskäytävän ulkopuolella, tällainen pyyntö ensin "jäädytetään" ja myöhemmin muodostetaan jo eteenpäin yhteys kohdeosoitteeseen DPI:n puolesta. Tämä on niin sanotusti ennakoiva järjestelmä pyydetyn tyypin testaamiseksi ja tunnistamiseksi ulkoinen Internet palvelut.
Jos käytät esimerkiksi Kiinassa kiellettyä palvelua, sen asiakasprotokollan on oltava vakavasti hämärtynyt, jotta allekirjoituksen DPI-hakumekanismi voidaan voittaa. Käytettäessä yhteysanturia sinua vastaan, vastaus tulee myös hämärtää palvelinpuolella, ts. V yleinen tapaus et voi käyttää tavallisia julkisia palveluita, jos ne on kielletty.
Tällä hetkellä yhteysanturi mahdollistaa melko tarkasti ja vähäisillä resursseilla määrittää ulkoisen palvelun tyypin, jota kiinalainen käyttäjä haluaa käyttää. Jos annamme enemmän esimerkki elämästä, sitten tätä tekniikkaa käytettiin menestyksekkäästi i2p-peittoverkkoa vastaan, minkä jälkeen se estettiin Kiinassa.
- Muuten, mitä voidaan sanoa järjestelmistä, kuten Tor, i2p tai VPN? Kuinka tehokkaita ne todella ovat tällaisen aggressiivisen online-sensuurin edessä?
En halua järkyttää ketään, mutta ne ovat tehottomia eivätkä ollenkaan niin sitkeitä kuin "suosittu huhu" antaa siitä melua - kaikki mainitut järjestelmät on pitkään estetty Kiinassa. Lisäksi voit estää Torin tai i2p:n kymmenillä eri tavoilla, joista yksinkertaisin on estää bootstrap-menettely asiakkaidensa alustushetkellä. Näiden verkkojen tulosolmujen (esimerkiksi Tor-hakemistosolmujen) estäminen tällä tavalla on tavallisellekin ylläpitäjälle triviaali tehtävä. Jos otamme huomioon Kiinan hallituksen kyvyt, tarkoitan ensinnäkin korkean teknologian DPI-sauvaa - tämä on täysin triviaali tehtävä.
Voit katsoa i2p netDB:tä - kiinalaisilla IP-osoitteilla ei ole solmuja, mutta jos katsot avoimia käyttäjätilastoja Tor palvelu, silloin he tallentavat enintään 1000 ainutlaatuista kiinalaista IP-osoitetta kuukaudessa, ja tämä koskee niin monen miljardin dollarin maata kuin Kiina, jolla on eniten suuri määrä Internetin käyttäjät maailmassa.
Muuten, tässä "läpimurron" tapauksessa kiinalaiset käyttävät obfsproxya, vaikka sen estäminen, sikäli kuin voin kertoa, Kiinan suuren palomuurin tässä kehitysvaiheessa ei aiheuta teknisiä vaikeuksia, siinä ei vain ole järkeä tämän eksoottisen tekniikan käyttäjien pienen määrän sekä hänen työnsä jatkuvien epäonnistumisten vuoksi.
— Miten VPN:n ja SSH:n kanssa menee?
Tilanne VPN:n kanssa on melko ristiriitainen - jotkut palveluntarjoajat tukahduttavat sen aggressiivisesti, jotkut melkein ei. China Unicom, yksi Manner-Kiinan suurimmista runkoverkkojen tarjoajista, tunnetaan laajalti estostaan. Tällä hetkellä se havaitsee ja estää yli 5 tyyppistä VPN:ää. Tarkemmin sanottuna nämä ovat: OpenVPN, PPTP, L2TP, SSTP ja Cisco.
Lisäksi kun Kiinan kommunistisen puolueen seuraava kongressi pidetään, Internet suodatetaan niin, että edes se, mikä toimi hiljaisina aikoina, ei ehkä enää toimi näinä päivinä.
Yleisemmin, sikäli kuin tiedän, Kiinan hallitus aikoo lisensoida VPN-verkkojen käytön, eli asianmukaisen valtion rekisteröinnin jälkeen sallia VPN-sovellus laillisiin liiketoimintatarkoituksiin, ja se on sen oma versio OpenVPN-pohjaisesta protokollasta. Tämän lain voimaantulon jälkeen kaikki valtion versiosta poikkeavat VPN-protokollat "leikataan" rajat ylittävässä yhdyskäytävässä kokonaan.
Mitä tulee SSH-palveluun, sitä on myös yritetty estää. Useiden epäsuorien merkkien perusteella suoritetaan vastaavia testejä myös julkisissa verkoissa, jolloin lokeista voi löytää useita katkenneita tai epäonnistuneita yhteyksiä, joissa on tyypillinen "Huono protokollaversion tunnistus" -virhe. Samaan aikaan, kun yrität muodostaa yhteyden Kiinan ulkopuolisiin palvelimiin, voit myöhemmin nähdä useita vääriä yhteysyrityksiä kiinalaisista IP-osoitteista, jotka edeltävät itse yhteyden nollausta. Oletettavasti tämä on vastaanottavan palvelimen seulonta käyttämällä yhteysanturityyppiä, jota olemme jo käsitelleet edellä.
Usein tällaiset testiliitännät erehtyvät raa'aksi voimaksi, vaikka ne tässä tapauksessa se on pikemminkin yritys tunnistaa passiivisesti etäjärjestelmä/protokolla käyttämällä tunnusomaisia vastemalleja (sormenjälkien skannaus).
Kun tällainen palvelu on tunnistettu, sen osoite syötetään (yleensä 1-3 kuukaudeksi) asianmukaisiin suodattimiin ja pysäytyslistoihin, jotta jatkossa vältetään resurssien säästämiseksi rekursiiviset kyselyt jo tunnistetussa isännässä ja tunnistettu. Tällaisia suodattimia täydennetään vähitellen palveluilla, jotka on kielletty Kiinassa. Joten, myös liitäntäanturin ansiosta, täysin sisään automaattinen tila Kiinan suuren palomuurin perusta kasvaa ja laajenee.
- Tehdäksemme kuvauksestamme täydellisen, katsotaanpa viimeistä synkkää lohikäärmettä. - Tuki vektorikoneita (SVM).
Haluaisin korostaa, että yhteysanturia ja erityisesti SVM:ää tulisi pitää DPI:n laajennuksena, vieläkin suurempana älykkyytenä. Tukivektorikone (SVM) on toinen askel tähän suuntaan. Tämä on algoritmi koneoppiminen, jota käytetään suurten heterogeenisten tietojen automaattiseen luokitteluun.
Olemme jo keskustelleet siitä, että DPI on suodatuskone, joka eristää tietyt tiedot virrasta staattisten sääntöjen tai allekirjoitusten mukaisesti. Sitä vastoin SVM mahdollistaa Internet-virran skannaamisen tilastollisen analyysin perusteella ilman jäykkiä sääntöjä. Voit esimerkiksi analysoida tiettyjen merkkien esiintymistiheyttä, pakettien pituutta, analysoida epäilyttävää toimintaa annetuista osoitteista, havaita erilaisia epätasapainoja ja verkkopoikkeavuuksia ja tunnistaa näin piilomalleja. SVM on älykäs DPI-liite, joka jatkaa virustorjuntaanalogiamme ja tuo heuristisia ominaisuuksia ("kutistuvia" heuristisia) Internet-liikenteen suodatusprosessiin.
Annan teille esimerkin: Kiinassa ei voida mainita Taivaallisen rauhan aukion mielenosoitusten vuosipäivää Pekingissä 4. kesäkuuta 1989, jolloin monet opiskelijat kirjaimellisesti murskasivat panssarivaunut suurten mellakoiden seurauksena. DPI, joka skannaa dynaamisesti kansallista liikennettä, estää kaikki URL-osoitteet, joissa mainitaan määritetty päivämäärä.
Sen jälkeen kun kiinalaiset alkoivat nimetä tätä päivämäärää toukokuun 35. päiväksi (ja monilla muilla nerokkailla tavoilla), perinteinen allekirjoitusanalyysi muuttui huomattavasti vaikeammaksi. Mutta SVM-heuristiikka tuli apuun, se pystyy tunnistamaan kontekstin ja havaitsemaan tällaiset "epäilyttävät päivämäärät" minimaalisella ihmisen väliintulolla.
— Yhteenvetona, ottaen huomioon kaikki sanottu, voidaanko sanoa, että Rostelecomin suunniteltu "kokovenäläisen" DPI:n käyttöönotto on jonkinlainen pahaenteinen ente, musta merkki koko Runetille?
Sinun on ymmärrettävä, että DPI itsessään on voimakas moderni instrumentti, ja kuinka sitä käytetään, on niiden ihmisten moraalisista ja ammatillisista periaatteista kiinni, joiden käsiin se päätyy.
Joten DPI antaa sinun suorittaa suuri määrä hyödyllinen verkolle - monet maailmanlaajuiset palveluntarjoajat käyttävät sitä liikenteensä hallitsemiseen ja tasapainottamiseen, matkapuhelinoperaattorit keräävät sitä yksityiskohtaiset tilastot jokaiselle yksittäinen käyttäjä Tämä tekniikka mahdollistaa myös yksittäisten pakettien (QoS) siirtonopeuden adaptiivisen ohjauksen ja paljon muuta. Yleensä DPI tarjoaa valtavan määrän ainutlaatuisia ominaisuuksia laajalla alueella korkealaatuisesta muotoilusta edistyneiden vakoilujärjestelmien, kuten PRISM, luomiseen.
— Millainen on kiinalainen internet ulkopuolisen tarkkailijan näkökulmasta, kun otetaan pois kiinalaisista konesalikaupungeista ja niiden huippumoderneista teknisistä laitteista? Mitä kehityspiirteitä hänellä on, mitkä ovat hänen erityiset mukautumisensa tällaiseen sensuroivaan ympäristöön?
— Tosiasia on, että Internet itse, ei vain Kiinassa, on melko reaktiivinen ympäristö. Perinteiset sensuurimenetelmät perustuvat teknisiä keinoja ja törkeät kiellot ovat huonosti sovellettavissa häneen.
Esimerkiksi jos suosittu bloggaaja jättää oman kriittisen mielipiteensä Kiinan kansantasavallasta blogissaan ennen kuin sensuuri huomauttaa ja estää sen, yleensä useilla ristiinkirjoituksilla on aikaa ilmestyä alkuperäinen viesti. Ja edelleen, jos sensuurit alkavat metsästää niitä kaikkia, Streisand-ilmiö laukaisee usein spontaanisti - yritys tukahduttaa joitakin tietoja, päinvastoin, houkuttelee siihen entistä enemmän yhteisön huomiota. Tämä ilmiö on seurausta verkkoympäristön suuresta reaktiivisuudesta ja itsereflektiosta.
Siksi huolimatta Kiinan valtavasta todellisesta sensuurista ja toisinaan kokonaisten portaalien estämisestä suuren uutistoimiston mittakaavassa, vaihtoehtoinen suuntaus käyttää ei-teknisiä menetelmiä yleiseen mielipiteeseen on viime aikoina vahvistunut maassa. Heidän pääkohta— Jos vastustajaa ei aina voi hiljentää verkossa, niin miksi ei johdeta tällaisia keskusteluja valtion kannalta tarpeelliseen suuntaan?
— Luin, että äskettäin ilmoitettiin virallisesti, että Kiina on perustanut hallituksen Internet-mielipideanalyytikkoyksikön, joka on rekrytoinut 2 miljoonaa työntekijää. Näiden analyytikoiden odotetaan valvovan virtuaalitilaa päätehtävänään. Heillä ei ole oikeuksia poistaa mitään tietoja - heidän tehtävänsä on hallita Internet-trendejä, tutkia Kiinan kansalaisten julkisia tunteita ja myös manipuloida niitä erityisellä tekniikalla.
— Kyllä, tämä on sama näkymätön verkkoarmeija, jonka aseet ovat erityisiä salavaikutusmenetelmiä verkostoon. Selittääkseni tätä strategiaa selkeämmin, annan todellisen tapauksen.
Noin kaksi vuotta sitten kiinalainen Internet räjähti melko oudon kuoleman vuoksi. Kotinsa lähellä laittomasta puunkorjuusta pidätetty nuori mies päätyi kiinalaiseen vankilaan. Siellä hän kuoli pari päivää myöhemmin melko outoissa olosuhteissa. Viranomaiset selittivät virallisesti hänen kuolemansa syyn sanomalla, että "vankilassa hän leikki piilosta toistensa kanssa ja kompastui, kaatui ja löi päänsä seinään". Kiinalainen Internet poimi tämän tarinan hyvin nopeasti, mainitsen vain yhden luvun: QQ.com 24 tunnin sisällä tästä tapauksesta ilmestyi yli 50 000 kommenttia, jotka myös kaikki muut Internet-alustat olivat täynnä raivoa tämän tapauksen järjettömyydestä. Sanoa, että sensuurit eivät yksinkertaisesti fyysisesti kykenisi poistamaan "kansan vihan" jälkiä nykyään, ei tarkoita mitään.
Hassun sattuman kautta hieroglyfillä "leikkiä piilosta" kiinan kielellä on myös toinen merkitys - "paeta kissaa", jota kiinalaiset bloggaajat käyttivät hyväkseen. Jopa useiden vuosien jälkeen Internetissä voit googlettaa valtavan määrän viittauksia tähän tarinaan kiinalaisessa vankilassa kuolleesta vangista, " joka törmäsi seinään yrittäessään paeta kissan luota" Bloggaajat yrittivät versiollaan kohtalokkaasta kissasta viedä virallisen selityksen järjettömyyden äärimmilleen, mikä sai aikaan sen, mitä nyt kutsutaan "Internet-meemiksi". Tuolloin kiinalainen Internet-segmentti yksinkertaisesti kuohui, sensuurit eivät pystyneet vaikuttamaan tilanteeseen, heidän hiljentymisensä ja viestien poistamisensa vain lisäsivät öljyä tuleen, pyörittivät epäluottamuksen vauhtipyörää ja Kiinan hallitusta kohtaan kohdistuvaa terävää kritiikkiä.
Ja sitten, tyytymättömyyden huipulla, jotain tapahtui: peliin liittyi täysin erilainen hallitustiimi, joka aikaisempien massiivisten resurssien sulkemisyritysten sijaan ehdotti odottamatta kilpailua suurimman joukossa. kuuluisia bloggaajia Kiina. Internetin käyttäjiä itseään pyydettiin verkkoäänestyksellä valitsemaan heille viisi arvovaltaisinta bloggaajaa, joille annettiin myöhemmin täysi pääsy tapahtumapaikalle. Viranomaiset antoivat heille kaikki tiedot, kaikki tosiasiat ja vapaan pääsyn kaikille todistajille. Nämä bloggaajat tulvivat verkostoa valokuvillaan ja kommentteillaan tapahtumapaikalta, mutta eivät kuitenkaan voineet lisätä mitään uutta tämän oudon kuoleman sisältöön.
Mutta jotain tapahtui yleiselle mielipiteelle - heti kun tietoa tapahtumapaikalta alkoi tulla riippumattomista lähteistä ja valtavia annoksia, heti kun kaikki tiedot tulivat mahdollisimman avoimeksi - ihmiset menettivät kiinnostuksensa tähän tapaukseen melkein heti, ja suuttumuksen aste hävisi nopeasti. Siten tämän väliintulon jälkeen oli mahdollista tukahduttaa hallituksenvastaisen epidemian taifuuni hyvin nopeasti.
Ilmeisistä syistä ei ole mahdollista kertoa monia vastaavia tapauksia Kiinan Internetissä, mutta jotain yhteistä kaikille tällaisille tarinoille on tärkeä - ohjausmenetelmät kehittyvät, muuttuvat hienovaraisemmiksi, piilotetuiksi ja monivaiheisemmiksi. Tiukan ja kategorisen puhtaasti teknisen estämisen kautta tapahtuvan sensuurin lisäksi verkkoepidemioissa käytetään täysin erilaisia tekniikoita yleiseen mielipiteeseen vaikuttamiseen.
Siksi meidän ei pidä keskittyä vain teknisiin keinoihin, jotka myös kehittyvät nopeasti Kiinassa, koska aivan silmiemme edessä syntyy ja kehitetään täysin uusia ohjaustekniikoita, joissa viranomaiset usein yrittävät hyödyntää kaikkia Internetin etuja avoimena. ympäristö päinvastaisella merkillä - salaiseen valvontaan ja mielipiteenvapauden rajoituksiin.
— Onko mahdollista verrata Kiinan Internetiä jotenkin tavalliseen Runetiin kansalaisten vapausasteen suhteen?
- Kiinan alimmalla tasolla ei käytännössä ole sensuuria - jos niitä katsoo sosiaalinen media, sitten ne ovat täynnä huhuja ja viranomaisten syytöksiä, joissa totuus ja suoranainen hölynpöly on kietoutunut tiukasti yleisen tunteiden vyyhteen. Melkein kukaan ei lue tätä, aivan kuten henkilökohtainen seinä, mielestäni 70% sosiaalisen verkostomme VKontakte tuntemattomista jäsenistä, jotka voivat vapaasti kirjoittaa sinne mitä haluavat.
Seuraava taso on systemaattinen kritiikki, argumentointi, kirkkaat ja aktiiviset bloggaajat yleisönsä kanssa, täällä on jo tietty jännitys, aktiivinen sensuuri ja provosoivien viestien poistaminen. Harvardin ravitsemusasiantuntija G. Kingin mukaan Kiinan kansantasavallan verkkosensuuriviranomaiset poistavat vuosineljänneksen aikana jopa miljoona viestiä ja niitä koskevia kommentteja. Ja lopuksi, kolmas taso on huippubloggaajat, joilla on valtava yleisö. Tai nämä ovat tilanteita, joissa jokin aihe nousee ja saa laajaa julkista ja verkossa resonanssia.
Täällä on erilaisia vaihtoehtoja aktiiviseen vastustukseen ja rankaisemiseen: jos aloittavaa bloggaajaa voidaan syyttää jostain, hänet voidaan pidättää ja hänen "kipeä hammas" vetää juurista ulos. Jos verkkoepidemia on liian voimakas ja siirretty, niin tapaukseen liittyy ”verkon erikoisjoukkoja”, jotka yrittävät ”räjäyttää höyryä” erilaisilla kekseliäisillä teknologioilla yhteiskunnan hallitsemiseksi pehmeän voiman avulla (esim. aiemmin kuvattu tarina vangin epäonnistunut yritys paeta kissasta).
Kaikki nämä kolme samanaikaisesti olemassa olevaa tasoa luovat ristiriitaisia mielipiteitä ja tietynlaista hämmennystä, mikä usein johtaa harhaan ensivaikutelman ulkopuolisesta. Näin ollen satunnaiset ja maan ulkopuoliset ihmiset ("turistit") näkevät anonyymeissä tileissä paljon hallituksen vastaista kritiikkiä, mikä luo väärän tunteen suhteellisesta vapaudesta. Toisaalta viime vuonna viranomaiset pidättivät kuusi tunnettua bloggaajaa kerralla ja heittivät heidät vankilaan syyttäen heitä "huhujen levittämisestä lähestyvästä sotilasvallankaappauksesta".
Jälkimmäisessä tapauksessa sinun ei pitäisi yrittää tulkita virallista sanamuotoa liian vakavasti, koska kun Wikipedia suljettiin täällä, se oli perusteltu taistelulla "aggression ja väkivallan propagandaa vastaan", jota tämä ilmainen online-tietosanakirja väitetään harjoittavan ympäri maailmaa. maailman.
— Kaikki on selvää kolmesta "kiinalaisesta tasosta". Entä nimettömyys?
– Kiinassa ei ole nimettömyyttä. Kiinan kansantasavallassa on lakeja, jotka vaativat bloggaajia rekisteröitymään oikeilla passitietoillaan. Tämä tehdään sillä verukkeella, että "lisätään verkossa luottamusta toisiinsa ja suojellaan kolmansien osapuolien käyttäjien etuja".
On myös olemassa laki, joka edellyttää henkilöllisyytesi todistamista tehdessäsi sopimuksia Internet-yhteyspalveluiden vastaanottamisesta. Kaikki Kiinassa fyysisesti sijaitsevat toimipaikat ovat teollisuus- ja tietotekniikan ministeriön hallussa pakollinen rekisteröinti, joka kuvaa melko pedanttisesti, millainen sivusto se on ja kuka on vastuussa mistäkin. Näin ollen tapahtumien lopputuloksesta riippumatta on aina olemassa tietty henkilö, joka on vastuussa mahdollisista rikkomuksista.
Lisää tähän jatkuvaan taustavalvontaan (en puhu vain Internetistä, muista ainakin äskettäinen Huawein laitteiden myyntikielto Yhdysvalloissa, joka osoittautui vikoja täynnä, tai Pietarin tarina kiinalaisista silitysraudat, jotka muodostavat luvattoman yhteyden julkisiin Wi-Fi-verkkoihin), joissa kaikkea liikennettäsi ja toimintaasi verkossa seurataan ja kirjataan huolellisesti. Täällä kuka tahansa, jopa teknisesti takapajuisin verkon käyttäjä, ymmärtää erittäin hyvin, että hänen toimintaansa tallennetaan.
Voit esimerkiksi kokeilla VPN:n käyttöä tai chattaamista ulkomailla PGP:n kautta, ja oikealla taidolla ja taidolla se saattaa jopa toimia. Mutta samaan aikaan kaikille on selvää, että tällaisten teknologioiden käytön tosiasiat tallennetaan, mikä voi tulevaisuudessa, jos se yhdistetään muihin raskauttaviin olosuhteisiin, johtaa sinun vainoamiseen. Heuristiset suodatustekniikat, kuten SVM, voivat muuten havaita automaattisesti lähes minkä tahansa kryptografian käytön, mikä lisäksi kiinnittää huomion ensin liikenteeseen ja sitten henkilöösi.
Sallikaa minun muotoilla tärkein huomio. Kuuden vuoden paikalliselämän jälkeen sain sellaisen vaikutelman, että Kiina, jolla on täydellinen taustavalvontajärjestelmä ja määräajoin ankaria demonstratiivisia rangaistuksia, yrittää jatkuvasti kehittää sellaista kansalaiskäyttäytymismallia, jossa henkilö vapaaehtoisesti ja alitajuisesti alistaisi itsensä teolle. itsesensuurista, joka on jatkuvasti tietoinen siitä, että hänen jokainen askeleensa tai lausuntonsa verkostossa tallennetaan huolellisesti. Pääasiassa taustalla olevan pelon ohjaama halu hillitä itseään muuttuu ajan myötä toiseksi luonteeksi.
Joten tulemme oudolle kaksijakoiselle liberaalimmalle eurooppalaiselle: muodollisesti voit kirjoittaa mitä ajattelet, mutta useimmat kiinalaiset eivät halua tehdä niin. Sitten lapset oppivat tämän isältään, ja näin kasvatetaan kokonaisia sukupolvia maalle pysyvästi uskollisia kansalaisia ilman omaa näkökulmaa. Tämä on muuten heidän kehutun kollektiivisuuden ja patriarkaatin huonot juuret...
— Millainen ennuste Runetille on ulkopuolelta katsottuna? Suuren maamme kärjessä ja palvelee fyysisesti pääklusteria Venäjänkielinen Internet, onko vakituinen presidentti, KGB:n eversti ja NKP:n jäsen vuodesta 1975, mitä kehityssuuntauksia verkoston kehityksessä odotat tältä osin?
– Tietysti kaikki vaikeutuu. Mutta sallikaa minun ilmaista skeptisyyteni - henkilökohtaisesti en usko, että tämä on juuri "kiinalainen vaihtoehto", koska tämä lähestymistapa, usko minua, on erittäin huipputeknologiaa. Muistutan, että Venäjällä ei vieläkään edes osata suodattaa yksittäisiä tuomioistuimen kieltämiä verkkosivuja ja kieltää barbaarisesti joukon resursseja kerralla yhteisellä IP-osoitteellaan.
Siksi toistan vielä kerran, ei ole syytä pelätä paikallinen verkko"Kiinalainen versio". Todennäköisesti todellisen puute tekniset valmiudet kompensoidaan nopealla lainsäädäntötyöllä ja puhtaasti hallinnollisella "raakalla voimalla". Ainoa yhteinen asia Kiinan kanssa on, että tällainen paine muodostaa ajan mittaan kiinalaistyylisen itsesensuurin oireyhtymän väestön keskuudessa. Toisin sanoen tapa ajatella yhtä ja puhua (kommentoida) toista, pitäen jatkuvasti silmällä "mitä tapahtuu", mikä lievästi sanottuna on kaukana normaalista inhimillisestä kommunikaatiosta ja itseilmaisusta.
Venäjän leveysasteilla, IMHO, tämä ei kuitenkaan johda alistumiseen, vaan väestön arvaamattomuuteen, joka on jo tarttunut "vapauden kurkkuun".
- Täydennetään kuvauksemme Aasian Internetistä viimeinen kysymys, nimenomaan: nimeä äärimmäisimmat turvallisuutesi asiat, joita voit tehdä kiinalaisessa Internetissä juuri nyt?
— Haluaisin korostaa kahta vakavaa seikkaa: nämä ovat kaikki lausunnot itse sensuuria ja sensuuria vastaan sekä kaikki kehotukset kollektiiviseen kansantoimintaan offline-tilassa.
Ensimmäisessä tapauksessa Kiina tekee titaanisia ponnisteluja, jotta sensuurin, valvonnan ja valvonnan tosiasia ei joutuisi ulkoisesti tuntemaan maan tavallisten kansalaisten enemmistöä, toisin sanoen, jotta tästä ilmiöstä ei keskustella tai tallenneta millään tavalla. . Kaikilla yrityksilläsi keskustella avoimesti tästä nimenomaisesta aiheesta ja tuoda esiin valvonnan tosiasiat, on todennäköisesti erittäin kielteinen vaikutus. vakavia seuraamuksia(suoraan verrannollinen esitettyjen tosiseikkojen vakuuttavuuden ja vakavuuteen). Paradoksi on, että nykyään on turvallisempaa arvostella itse kommunistisen puolueen johtajuutta kuin sen menetelmiä hallita Internetiä tai yhteiskuntaa.
Mitä tulee toiseen, jos haluat kerätä ihmisiä mihin tahansa tarkoitukseen, tämä tukahdutetaan tiukasti. Muistutan vielä kerran strategian pääosasta: kansalaisten henkilökohtaiset kriittiset lausunnot tai hajanainen kritiikki ovat useimmiten hyväksyttäviä, mutta kaikki yritykset kollektiiviseen keskusteluun, itseorganisoitumiseen tai yhteisiin näkemyksiin perustuviin yhdistyksiin ja lisäksi offline-tilaan siirtymiseen. niiden kanssa, ovat kategorisesti mahdottomia hyväksyä. Tästä syystä jopa pyöräilyn harrastajien ryhmät estetään verkossa, jos he yrittävät kokoontua massaksi offline-tilassa. Kiinan hallitus pelkää kauheasti kansalaisten yhdistämistä, mutta juuri tämän toiminnon, kuten uskon, tulevaisuuden "aikuisempi" Internet tarjoaa.
Tiedämme erittäin hyvin, että sensuuri on huono asia. Mutta huolimatta viranomaisten pyrkimyksistä vahvistaa vaikutusvaltaansa Internetiin, he ovat edelleen heikkoja ja usein tyhmiä. Olemme jo kertoneet sinulle kuinka. Tänään esittelemme sinulle toisen tavan ohittaa verkkosivustojen esto käyttämällä DPI (deep pakettien tarkistus) ohitustekniikkaa.
Palveluntarjoajilla on aukkoja DPI:ssä. Ne tapahtuvat, koska DPI-säännöt on kirjoitettu tavallisille käyttäjäohjelmille, jättäen pois kaikki mahdolliset standardien sallimat tapaukset.
Tämä tehdään yksinkertaisuuden ja nopeuden vuoksi. Hakkereita, jotka ovat 0,01%, ei ole mitään järkeä saada kiinni, koska joka tapauksessa nämä estämiset ovat melko helppoja tavallisillekin käyttäjille.
Jotkut DPI:t eivät tunnista http-pyyntöä, jos se on jaettu TCP-segmentteihin.
Esimerkiksi pyyntö kuten "GET / HTTP/1.1rnHost: kinozal.tv......"
lähetämme kahdessa osassa: ensin tulee "SAADA", sitten "/ HTTP/1.1rnHost: kinozal.tv….".
Muut DPI:t kompastuvat, kun "Host:"-otsikko kirjoitetaan eri kirjainkoon: esimerkiksi "host:".
Ylimääräisen tilan lisääminen menetelmän jälkeen toimii joissakin paikoissa: "GET /" => "HANKI /" tai lisäämällä piste isäntänimen loppuun: "Host: kinozal.tv."
Kuinka toteuttaa ohitus käytännössä Linux-järjestelmässä
Kuinka pakottaa järjestelmä jakamaan pyynnön osiin? Voit suorittaa koko TCP-istunnon
läpinäkyvän välityspalvelimen kautta tai voit korvata ensimmäisen saapuvan TCP-paketin tcp-ikkunan kokokentän tekstillä SYN,ACK.
Tällöin asiakas luulee, että palvelin on asettanut sille pienen ikkunakoon ja lähettää ensimmäisen segmentin datalla, joka ei ylitä määritettyä pituutta. Emme muuta mitään myöhemmissä paketeissa.
Järjestelmän jatkokäyttäytyminen lähetettyjen pakettien koon valinnassa riippuu siinä toteutetusta algoritmista. Kokemus osoittaa, että Linux lähettää aina ensimmäisen paketin korkeintaan ikkunakoossa määritetyn pituuden verran, loput paketit lähettävät jonkin aikaa enintään max(36, specific_size).
Tietyn määrän paketteja jälkeen ikkunan skaalausmekanismi laukeaa ja skaalaustekijää aletaan huomioida, paketin koko ei saa olla suurempi kuin max(36, specific_size<< scale_factor).
Ei kovin tyylikästä käytöstä, mutta koska emme vaikuta saapuvien pakettien kokoon ja http:n kautta vastaanotetun datan määrä on yleensä paljon suurempi kuin lähetetty määrä, vain pieniä viiveitä näkyy visuaalisesti.
Windows käyttäytyy vastaavassa tapauksessa paljon ennakoitavammin. Ensimmäinen segmentti on määritetyn pituinen, sitten ikkunan koko muuttuu uusissa Tcp-paketeissa lähetetyn arvon mukaan. Toisin sanoen nopeus palautetaan lähes välittömästi maksimissaan.
Paketin sieppaaminen SYN,ACK:lla ei ole vaikeaa iptablesin avulla. Mahdollisuus muokata paketteja iptablesissa on kuitenkin hyvin rajallinen. Et voi muuttaa vain ikkunan kokoa vakiomoduuleilla.
Käytämme tähän NFQUEUE-työkalua. Tämä työkalu mahdollistaa
siirtää paketteja käsittelyä varten käyttäjätilassa toimiviin prosesseihin.
Prosessi, saatuaan paketin, voi muuttaa sitä, mitä me tarvitsemme.
iptables - t raw - I PREROUTING - p tcp -- sport 80 -- tcp - liput SYN , ACK SYN , ACK - j NFQUEUE -- jonon numero 200 -- jonon ohitus |
Se antaa paketit, joita tarvitsemme prosessin kuuntelemiseen jonossa numero 200. Se korvaa ikkunan koon. PREROUTING sieppaa sekä itse isännälle osoitetut että reitittävät paketit. Eli ratkaisu toimii yhtäläisesti sekä asiakkaalla että reitittimellä. PC-pohjaisella tai .
Periaatteessa tämä riittää.
TCP:ssä on kuitenkin pieni viive, jos tämä tehdään. Voit tehdä tämän siirron, jotta et kosketa isäntiä, joita palveluntarjoaja ei ole estänyt.
Luo luettelo estetyistä verkkotunnuksista tai lataa se osoitteesta ruplalista.
Ratkaise kaikki verkkotunnukset ipv4-osoitteiksi. Ohjaa ne ipsetiksi, jonka nimi on "zapret".
Lisää sääntöön:
iptables - t raw - I PREROUTING - p tcp -- sport 80 -- tcp - liput SYN , ACK SYN , ACK - m set -- match - set lock src - j NFQUEUE -- jonon numero 200 -- jonon ohitus |
Tällä tavalla vaikutus kohdistuu vain estettyihin sivustoihin liittyviin IP-osoitteisiin. Listaa voi päivittää cronin kautta muutaman päivän välein.
Jos päivität rublacklistin kautta, se kestää melko kauan. Yli tunti. Mutta tämä prosessi ei kuluta resursseja, joten tämä ei aiheuta ongelmia, varsinkin jos järjestelmä on käynnissä jatkuvasti.
Jos DPI:tä ei ohiteta jakamalla pyyntö segmentteihin, toisinaan muutetaan "Host:" - "host:". Tässä tapauksessa emme ehkä tarvitse vaihtoa ikkunan koko, joten ketju ESITTELY emme tarvitse sitä. Sen sijaan ripustamme itsemme lähtevien pakettien varaan ketjussa POSTROUTING :
iptables - t mangle - I POSTROUTING - p tcp - dport 80 - m set - match - set zapret dst - j NFQUEUE - jono - numero 200 - jono - ohitus |
Tässä tapauksessa lisäpisteet ovat myös mahdollisia. DPI voi siepata vain ensimmäisen http-pyynnön jättäen huomiotta seuraavat pyynnöt pitää hengissä istuntoja. Sitten voimme vähentää prosessorin kuormitusta kieltäytymällä käsittelemästä tarpeettomia paketteja.
iptables - t mangle - I POSTROUTING - p tcp -- dport 80 - m set -- match - set zapret dst - m connbytes -- connbytes - dir = alkuperäinen -- connbytes - mode = paketit -- connbytes 1 : 5 - j NFQUEUE -- jono - numero 200 -- jono - ohitus |
Sattuu niin, että palveluntarjoaja valvoo koko HTTP-istuntoa säilytyspyynnöillä. Tässä tapauksessa ei riitä, että TCP-ikkunaa rajoitetaan yhteyttä muodostettaessa. Jokainen uusi pyyntö on lähetettävä erillisissä TCP-segmenteissä. Tämä ongelma ratkaistaan suorittamalla liikenteen täydellinen välityspalvelin läpinäkyvä välityspalvelin (TPROXY tai DNAT). TPROXY ei toimi paikallisesta järjestelmästä peräisin olevien yhteyksien kanssa, joten tämä ratkaisu on käytettävissä vain reitittimessä. DNAT toimii myös paikallisten yhteyksien kanssa, mutta on olemassa vaara päästää äärettömään rekursioon, joten demoni käynnistetään erillisen käyttäjän alaisuudessa ja DNAT on poistettu käytöstä tälle käyttäjälle "-m omistajalla". Täysi välityspalvelin vaatii enemmän CPU-resursseja kuin lähtevien pakettien käsitteleminen ilman TCP-yhteyden rekonstruoimista.
iptables - t nat - I PREROUTING - p tcp -- dport 80 - j DNAT -- 127.0.0.1 : 1188 iptables - t nat - I OUTPUT - p tcp -- dport 80 - m omistaja ! -- uid - omistaja tpws - j DNAT -- numeroon 127.0.0.1 : 1188 |
NFQWS Package Modifierin käyttäminen
Tämä ohjelma on pakettien muokkaaja ja NFQUEUE-jononkäsittelijä.
Se vaatii seuraavat parametrit:
- demoni; demonisoi ohjelmaa
--qnum = 200; jonon numero
--wsize=4; muuta tcp-ikkunan koko määritettyyn kokoon
--isäntäkotelo; muuta "Host:"-otsikon kirjainkokoa
Käyttämällä läpinäkyvää välityspalvelinta TPWS
tpws on läpinäkyvä välityspalvelin.
--bind-addr; missä osoitteessa kuunnella. voi olla ipv4- tai ipv6-osoite. jos ei ole määritetty, kuuntelee kaikkia ipv4- ja ipv6-osoitteita
--portti=
- demoni; demonisoi ohjelmaa
--käyttäjä=
--split-http-req=method|host; tapa jakaa http-pyynnöt segmentteihin: lähellä menetelmää (GET, POST) tai lähellä Host-otsikkoa
--split-pos=
--isäntäkotelo; korvaus "Host:" => "isäntä:"
--hostdot; pisteen lisääminen isäntänimen perään: "Isäntä: kinozal.tv."
--methodspace; lisää välilyönti menetelmän jälkeen: "GET /" => "HANKI /"
Manipulointiparametrit voidaan yhdistää mihin tahansa yhdistelmään.
On poikkeus: split-pos korvaa split-http-req.
Tiettyjen palveluntarjoajien verkkosivustojen eston ohittaminen.
mns.ru: ikkunan koko on vaihdettava 4:ään
beeline (corbina): "Host:"-rekisteri on vaihdettava koko http-istunnon ajan.
dom.ru: sinun on välitettävä HTTP-istunnot tpws:n kautta korvaamalla "Host:"-rekisteri ja erottamalla TCP-segmentit "Host:"-otsikossa.
Achtung! Domru estää kaikki estetyn verkkotunnuksen aliverkkotunnukset. Eri aliverkkotunnusten IP-osoitteita ei voi saada selville rekisteristä
esto, joten jos jollekin sivustolle ilmestyy yhtäkkiä estävä banneri, siirry Firefox-konsolin verkkovälilehdelle.
Lataa sivusto ja katso minne hän on menossa uudelleenohjaus. Lisää sitten verkkotunnus tiedostoon zapret-hosts-user.txt. Esimerkiksi kinozal.tv:ssä on 2 pyydettyä aliverkkotunnusta: s.kinozal.tv ja st.kinozal.tv eri IP-osoitteilla.
sknt.ru: Testattu toimimaan tpws:n kanssa parametrilla "-split-http-req=method". Ehkä nfqueue toimii, mutta sitä ei ole vielä mahdollista testata.
tkt: Se auttaa jakamaan http-pyynnön segmentteihin, mns.ru-asetukset ovat sopivia
Rostelecom osti TKT:n, Rostelecom-suodatusta käytetään.
Koska DPI ei hylkää saapuvaa istuntoa, vaan lisää vain oman pakettinsa, joka saapuu ennen vastausta oikealta palvelimelta, esto vältetään myös ilman "raskasta tykistöä" seuraavalla säännöllä:
iptables - t raw - I PREROUTING - p tcp - sport 80 - m string - hex - string "|0D0A|Sijainti: http://95.167.13.50"-- algo bm - j DROP -- 40 - 200 |
Rostelecom: katso tkt
taso: Itse taso ei kieltänyt mitään aivan loppuun asti. Näyttää siltä, että ylemmän tason operaattori kieltää hänet, mahdollisesti telia. http-pyynnöt on jaettava koko istunnon ajan.
Tapoja saada luettelo estetyistä IP-osoitteista
1) Lisää estetyt verkkotunnukset ipset/zapret-hosts-user.txt ja juosta ipset/get_user.sh
Uloskäynnillä saat ipset/zapret-ip-user.txt IP-osoitteiden kanssa.
2) ipset/get_reestr.sh vastaanottaa luettelon verkkotunnuksista rublacklistista ja ratkaisee ne sitten IP-osoitteiksi tiedostoksi ipset/zapret-ip.txt. Tämä luettelo sisältää valmiita IP-osoitteita, mutta ilmeisesti ne ovat siellä juuri siinä muodossa, jossa RosKomPozor kirjoittaa rekisteriin. Osoitteet voivat muuttua, on sääli, että heillä ei ole aikaa päivittää niitä, ja palveluntarjoajat kieltävät harvoin IP-osoitteen perusteella: sen sijaan he kieltävät http-pyynnöt, joissa on "huono" "Host:"-otsikko IP-osoitteesta riippumatta. Siksi skripti ratkaisee kaiken itse, vaikka se vie paljon aikaa.
Lisävaatimus on muistin määrä /tmp tallentaaksesi sinne ladatun tiedoston, jonka koko on useita megatavuja ja joka jatkaa kasvuaan. Päällä openwrt-reitittimet/tmp edustaa tmpfs:ää eli muistilevyä.
Jos kyseessä on reititin, jossa on 32 Mt muistia, se ei ehkä riitä ja tulee ongelmia. Käytä tässä tapauksessa seuraavaa komentosarjaa.
3)ipset/get_anizapret.sh. nopeasti ja ilman kuormitusta reitittimeen saa arkin https://github.com/zapret-info.
Kaikki tarkasteltujen skriptien versiot luovat ja täyttävät automaattisesti ipsetin.
Vaihtoehdot 2 ja 3 kutsuvat lisäksi vaihtoehdon 1.
Reitittimillä ei ole suositeltavaa kutsua näitä komentosarjoja useammin kuin kerran kahdessa päivässä, koska tallennus menee joko reitittimen sisäiseen flash-muistiin tai extrootin tapauksessa flash-asemaan. Molemmissa tapauksissa liian usein kirjoittaminen voi tappaa flash-aseman, mutta jos näin tapahtuu sisäiselle flash-muistille, tappat reitittimen.
Komentosarjan suorittama pakotettu ipset-päivitys ipset/create_ipset.sh
Voit syöttää luettelon toimialueista tiedostoon ipset/zapret-hosts-user-ipban.txt. Heidän IP-osoitteensa sijoitetaan erilliseen ipset "ipban" -ryhmään. Sitä voidaan käyttää pakottamaan kaikki yhteydet läpinäkyviin välityspalvelimeen "redsocks".
Esimerkki sivuston eston ohittamisesta debian 7:ssä
Debian 7:n mukana tulee 3.2-ydin. Se ei osaa tehdä DNAT:tä localhostissa.
Et tietenkään voi sitoa tpws:ää 127.0.0.1:een ja korvata sitä iptables-säännöissä "DNAT 127.0.0.1" - "REDIRECT", mutta on parempi asentaa uudempi ydin. Se on vakaassa arkistossa:
apt - hanki päivitys apt - get install linux - kuva - 3.16 |
Asenna paketit:
Kerää tpws:
Luo viiva "0 12 * * */2 /opt/zapret/ipset/get_antizapret.sh". Tämä tarkoittaa, että luettelo päivitetään klo 12.00 joka toinen päivä.
Aloita palvelu: palvelu lukittu käynnistys
Yritä mennä jonnekin: http://ej.ru, http://kinozal.tv, http://grani.ru.
Jos se ei toimi, lopeta zapret-palvelu, lisää sääntö iptablesiin manuaalisesti,
suorita nfqws päätteen pääkäyttäjän alaisuudessa tarvittavilla parametreilla.
Yritä muodostaa yhteys estettyihin sivustoihin, katso ohjelman lähtö.
Jos vastausta ei tule, jononumero on todennäköisesti väärä tai kohde-ip ei ole ipsetissä.
Jos tapahtuu reaktio, mutta estoa ei ohiteta, se tarkoittaa, että ohitusparametrit on valittu väärin tai tämä työkalu ei toimi tapauksessasi palveluntarjoajassasi.
Kukaan ei sanonut, että tämä toimisi kaikkialla.
Kokeile kaatopaikkaa wiresharkissa tai "tcpdump -vvv -X isäntä
Esimerkki sivustolohkon ohittamisesta Ubuntu 12.14:ssä
Aloittajalle on valmis konfiguraatio: zapret.conf. Se on kopioitava /etc/init ja määritä se samalla tavalla kuin debian.
Palvelun aloittaminen: "aloitus lukittu"
Lopeta palvelu: "lopeta kielto"
Ubuntu 12, kuten Debian 7, on varustettu 3.2-ytimellä. Katso huomautus "debian 7" -osiosta.
Esimerkki sivuston eston ohittamisesta ubuntu 16, debian 8:ssa
Prosessi on samanlainen kuin Debian 7, mutta vaatii init-skriptien rekisteröinnin systemd:llä sen jälkeen, kun ne on kopioitu kansioon /etc/init.d.
asennus: /usr/lib/lsb/install_initd zapret
poista: /usr/lib/lsb/remove_initd zapret
Esimerkki verkkosivustojen eston ohittamisesta muissa Linux-järjestelmissä.
Pääpalvelun käynnistysjärjestelmiä on useita: sysvinit, upstart, systemd.
Asetus riippuu jakelussasi käytetystä järjestelmästä.
Tyypillinen strategia on löytää skripti tai konfiguraatio muiden palveluiden käynnistämistä varten ja kirjoittaa omasi samalla tavalla lukemalla tarvittaessa käynnistysjärjestelmän dokumentaatio. Tarvittavat komennot voidaan ottaa ehdotetuista skripteistä.
Palomuurin määrittäminen ohittamaan sivuston eston.
Jos käytät jonkinlaista palomuurin hallintajärjestelmää, se voi olla ristiriidassa olemassa olevan käynnistysohjelman kanssa. Tässä tapauksessa iptablesin säännöt on liitettävä palomuuriisi erillään tpws- tai nfqws-käynnistyskomentosarjasta.
Juuri näin ongelma ratkaistaan openwrt:n tapauksessa, koska sillä on oma palomuurijärjestelmä - nfqueue iptables - mod - filter iptables - mod - ipopt ipset curl bind - työkalut.
Suurin haaste on C-ohjelmien laatiminen.
Tämä voidaan tehdä käyttämällä ristiin kääntämistä missä tahansa perinteisessä Linux-järjestelmässä.
Lukea compile/build_howto_openwrt.txt.
Sinun tehtäväsi on saada ipk tiedostoja varten tpws ja nfqws.
Kopioi hakemisto "kielletty" V /valita reitittimeen.
Asenna ipk. Tee tämä kopioimalla se ensin reitittimeen ipk tiedostoon /tmp, Sitten
Tämä tarkoittaa, että luettelo päivitetään klo 12.00 joka toinen päivä.
Jos sinulla on Linux x64, voit työkaluketjun kääntämisen sijaan käyttää openwrt-kehittäjien valmiiksi käännettyä SDK:ta.
https://downloads.openwrt.org/
Etsi openwrt-versiosi, etsi arkkitehtuurisi, lataa tiedosto "OpenWrt-SDK-*".
Itse asiassa tämä on sama buildroot, mutta sillä on jo valmiiksi työkaluketju vaadittavalle openwrt-versiolle, halutulle kohdearkkitehtuurille ja Linux x64 -isäntäjärjestelmälle.
Esikäännetyt binaarit
Kääntäminen reitittimille voi olla pelottava tehtävä, joka vaatii tutkimusta ja googlaa openwrt SDK:n "out-of-the-box vikoja".
Jotkut binaarit puuttuvat, jotkut linkit puuttuvat, ja tämän seurauksena SDK voi tuottaa virheitä heti. Staattiset binaarit on kerätty yleisimmille arkkitehtuureille. Katso binäärit.
Staattinen kokoonpano tarkoittaa, että binaari ei riipu libc-tyypistä (uclibc tai musl) ja sen olemassaolosta niin asennettuna - sitä voidaan käyttää välittömästi.
Kunhan CPU-tyyppi on sopiva. ARM:sta ja MIPS:stä on useita versioita. Jos versiosi tuottaa virheitä käynnistyksen yhteydessä, sinun on käännettävä se itse järjestelmääsi varten.
Ohita https-esto
Pääsääntöisesti DPI-temput eivät auta ohittamaan https-estoa.
Sinun on ohjattava liikenne kolmannen osapuolen isännän kautta. On ehdotettu käytettäväksi läpinäkyvää uudelleenohjausta socks5:n kautta käyttämällä iptables+redsocks tai iptables+iproute+openvpn. Redsocksista openwrt-vaihtoehdon asettaminen on kuvattu https.txt:ssä.
Kaikki lähteet tätä menetelmää löytyy täältä - https://github.com/bol-van/zapret
Viimeksi päivitetty 18. marraskuuta 2016.
DPI-järjestelmät käyttävät teknologiaa tilastotietojen keräämiseen sekä verkkopakettien suodattamiseen ja valvontaan niiden sisällön huomioon ottaen. Ne toimivat syvemmällä periaatteella kuin palomuurit, jotka analysoivat vain pakettien otsikoita. Tämä tekniikka tutkii liikenteen sisältöä OSI-mallin toisessa ja korkeammassa kerroksessa. Järjestelmät voivat tunnistaa ja pysäyttää virukset ja poistaa tarpeettomat tiedot. Estopäätös voidaan tehdä myös epäsuorien oireiden perusteella, joiden avulla tunnistetaan tietyt protokollat ja ohjelmat.
Yleiskatsaus teknologiaan ja markkinatilanteeseen
Kuten tilastot osoittavat, viimeisten 5 vuoden aikana maassamme säännöllisesti (vähintään kerran 24 tunnin sisällä) Internet-yhteyden muodostavien käyttäjien joukko on lisääntynyt merkittävästi. Jos aiemmin tämä luku oli 31%, nyt se on noussut 57 prosenttiin. Jos käännämme nämä tiedot numeroiksi, saamme noin 66,5 miljoonaa ihmistä.
Vuodesta 2010 lähtien mobiilikäyttäjien määrä on kasvanut nopeasti. Tilastojen mukaan tällä hetkellä yli kolmannes käynneistä vierailee älypuhelimilla (3/4 kaikista) ja muista kannettavista laitteista.
Erilaisista epäsuotuisista tekijöistä huolimatta asiantuntijat ennustavat kasvua edelleen mobiililiikenne. Operaattoreiden on pakko reagoida muutoksiin ja etsiä uusia tapoja parantaa palveluidensa laatua, joten verkkoliikenteen ohjausteknologia on tulossa heille ajankohtaiseksi. Asiantuntijoiden mukaan vuoteen 2020 mennessä globaalit DPI-markkinat ylittävät 4,7 miljardia dollaria.
Mitä ovat DPI-pakettianalyysi- ja suodatusjärjestelmät?
DPI-tekniikan avulla voit optimoida kanavan suorituskyvyn, mutta se voi myös lisätä tietoturvatasoa työskennellessäsi tietojen kanssa. Kiinnostus maatamme kohtaan tällaisia ratkaisuja kohtaan ruokkii lainsäädäntötasolla. Valtio vaatii teleoperaattoreita rajoittamaan tilaajien pääsyä laittomaan sisältöön.
Syväliikenteen analysointiratkaisut mahdollistavat:
- terrorismin torjunta;
- suojautua verkkohyökkäyksiltä;
- estää haittaohjelmien suorittamisen;
- takaa Internet-yhteyden nopeuden ja laadun;
- poistaa verkon ylikuormitukset;
- erilaistaa liikennettä, varmistaa virtauksen tasaisuus ja prioriteettien jakautuminen.
DPI-järjestelmät auttavat jakamaan kuormaa niin, että käyttäjät eivät huomaa nopeuden hidastuvan ja ovat tyytyväisiä yhteyden laatuun. Tällaiset järjestelmät asennetaan pääasiassa operaattorin verkon reunaan olemassa olevien, rajareitittimistä pois menevien uplink-yhteyksien väliin. Tämä mahdollistaa kaiken tulevan ja lähtevän liikenteen reitittämisen DPI:n kautta, mikä lisää ohjauksen ja valvonnan tarkkuutta. Tietyt ongelmat ratkaistaan asentamalla laitteita lähemmäs loppukäyttäjiä, CMTS-tasolla ja niin edelleen.
Carbon Reductor DPI X
Markkinatoimijat ovat jo pitkään arvostaneet DPI-teknologian etuja, mutta optimaalisia ratkaisuja pienille ja keskisuurille yrityksille valmiita kehittäjiä ei ole paljon. Yrityksemme on yksi tällaisten ohjelmistojen kehittäjistä. Luomme ja tuemme ajantasaista tuotetta - .
Tämä on ohjelmistoratkaisu:
- ei automaattisesti salli liikennettä oikeusministeriön ja Roskomnadzorin luettelossa oleviin resursseihin;
- tekee yrityksestä täysin liittovaltion lain-436, liittovaltion lain-398, liittovaltion lain-187, liittovaltion lain-149 ja liittovaltion lain-139 mukaisen Venäjän lainsäädännön mukaisen (vakuutukset sakkoja vastaan);
- toimii "liikenteen peilaus" -järjestelmän mukaisesti;
- käyttää 8 suodatustekniikkaa (tuettu: HSTS, TCP/IP, BGP/OSPF, HTTPS, DNS, HTTP);
- pystyy tarkistamaan jopa 900 tuhatta liikennepakettia sekunnissa;
- on selkeä verkkokäyttöliittymä;
- käyttää mahdollisimman vähän laitteistoresursseja;
- tukee IPv6:ta.
Koska kehittäjämme valmistelevat muutoksia useita kuukausia ennen muutoksia ja suosituksia, yrityksillä on aina käytössään ajantasainen tuote, joka täyttää nykyiset liikenneanalyysi- ja suodatusvaatimukset.
Mistä DPI koostuu?
DPI tarjoaa:
- liikenneanalyysi;
- tilaajien pääsyn rajoittaminen verkkosivustoille;
- palvelujen personointi;
- tiettyjen verkkoprotokollien käytön rajoittaminen.
Järjestelmillä on seuraava koostumus:
- PCC – jakaa fyysisen datavirran loogisiin istuntoihin;
- PCRF on "aivot", jotka käyttävät tarvittavia sääntöjä (palvelun laadun parametrien asettaminen, soveltaminen lisäpalvelut ja niin edelleen);
- PCEF – soveltaa PCC-sääntöjä liikenteeseen, suorittaa latauksen;
- OCS - tilaajan saldon hallinta, palvelujen tariffiointi, alennusten soveltaminen, palvelujen määrän laskeminen;
- Laskutus – tallentaa tilaajasaldotiedot ja tarjoaa pääsyn niihin OCS-palvelimelle;
- Liityntäverkko – verkko, joka yhdistää tilaajan palveluntarjoajaan, sisältää kaikki asiakaslaitteet;
- Transkoodaus, optimointipalvelin – tiedon välimuisti suorituskyvyn parantamiseksi;
- AAA-palvelin – tunnistaa tilaajat, pitää kirjaa käytetyistä resursseista (RADIUS-protokolla);
- BBERF – ilmoittaa PCRF:lle istunnon aktivoinnista lähettämällä tilaajatunnuksen ja muita indikaattoreita QoS-palvelusääntöjen tarkan määrittämiseksi;
- UDR – tarjoaa käyttäjätietojen tallennuksen.
Vaihtoehdot DPI-järjestelmien käyttöön
On 9 mahdollista skenaariota:
- liikenteen ohjaus ja analysointi;
- sen priorisointi;
- nousevien linkkien parantaminen;
- kanavan yhtenäinen jakelu kaikille tilaajille;
- välimuisti;
- verkoston osallistujien käyttäytymisen arviointi;
- ilmoitus tilaajille;
- pääsyn rajoittaminen tiettyihin Internet-resursseihin;
- suojaa liikennettä sieppauksilta ja muilta hyökkäyksiltä.
Tarvittavat laitteet DPI-järjestelmiin
Järjestelmän ohjelmistoosa pystyy toimimaan tuottavammin, jos tiettyjä laitteita on saatavilla. Periaatteessa tähän käytetään valmiita ratkaisuja, jotka sisältävät laitteita, joissa on esiasennettu ohjelmisto.
Tyypillisesti DPI syväliikenteen suodatusjärjestelmien vakiopaketti sisältää:
- Verkkokortit, joissa on ohitustila, jotka yhdistävät liitännät ensimmäisellä tasolla. Vaikka palvelimen virta katkeaa yhtäkkiä, porttien välinen linkki jatkaa toimintaansa ohittaen liikenteen akkuvirralla.
- Valvontajärjestelmä. Etävalvoo verkon ilmaisimia ja näyttää ne näytöllä.
- Kaksi virtalähdettä, jotka voivat tarvittaessa korvata toisensa.
- Kaksi kiintolevyä, yksi tai kaksi prosessoria.
Ulkoisia tallennuslaitteita voidaan liittää toimintojen laajentamiseksi. Koska tässä tapauksessa suurta pääsynopeutta ei tarvita, sopii ratkaisu yhden tallennusjärjestelmän (tiedontallennusjärjestelmän) ja siihen liitettyjen useiden levyhyllyjen muodossa.
Pääyksikkö on varustettu kahdella ohjaimella, joissa kummassakin on portit verkkoon liittämistä varten ja laajennushyllyt. Käyttää Intel® Xeon® E5-2600 V4 -suoritinta. Vikasietokyvyn lisäämiseksi käytetään kahta virtalähdettä.
SmartOS suorittaa levynhallinnan. Käyttämällä RAID-Z-tekniikkaa ja uutta ZFS-tiedostojärjestelmää, laite saa monia etuja:
- loogisten ja fyysisten levyjen eheyden valvonta;
- tiedon pirstoutumisen minimoiminen;
- korkea levyn käyttönopeus.
Tallennetun tiedon lisäämiseksi JBOD on liitetty pääyksikköön. Yhdelle hyllylle mahtuu jopa 70 levyä. Tämän menetelmän avulla voit nopeasti lisätä tallennusjärjestelmän kapasiteettia.
DPI-kytkentäkaaviot
On olemassa kaksi pääjärjestelmää:
- Aktiivinen. Asennus "rakoon". Tarjoaa täyden toiminnallisuuden. Laite on kytketty rajareitittimen jälkeen uplink-aukkoon. Tämän järjestelmän ansiosta kaikki liikenne kulkee DPI:n kautta. Tämä avaa laajan toiminnallisuuden sen käsittelyyn. Tässä järjestelmässä on kuitenkin haittapuoli. Jos laite epäonnistuu, yhteys katkeaa. Tätä varten on suositeltavaa käyttää joko varmuuskopioalustaa tai ohituslaitteita.
- Passiivinen. "Liikennepeilaus" tapahtuu optisten jakajien tai SPAN-porttien kautta. Tällainen järjestelmä avaa pääsyn moniin toimintoihin: SORM:n esisuodatus, välimuisti, estopyyntöjen uudelleenohjaus, online-napsautusvirran poistaminen ja niin edelleen. Jos verkko on jo toiminnassa, tämän järjestelmän avulla voit ottaa DPI:n käyttöön 1-2 päivässä.
Johtopäätös
DPI-järjestelmät ovat tarpeeksi monimutkaisia mahtuakseen yksityiskohtaiseen kuvaukseen yhdessä tietomateriaalissa. Nämä tiedot huomioon ottaen voidaan kuitenkin saada selkeä kuva siitä, kuinka tuottavia ja kysyttyjä tällaiset ratkaisut ovat. Ammattilaisten käsissä DPI-järjestelmät ovat arvokkaita työkaluja, jotka parantavat palvelun laatua ja tilaajien turvallisuutta ja ovat Venäjän todellisuudessa täysin lain mukaisia ja toimivat rauhallisesti teleoperaattorina.
Pakettien syvä tarkastus(lyhenne DPI, Myös täydellinen paketin tarkastus Ja Tiedonpoisto tai IX, Venäjän kieli Depth pakettien tarkistus) on tekniikka tilastotietojen keräämiseen, verkkopakettien tarkistamiseen ja suodattamiseen niiden sisällön perusteella. Toisin kuin palomuurit, Deep Packet Inspection analysoi pakettien otsikoiden lisäksi myös liikenteen täyden sisällön kaikilla OSI-mallin kerroksilla alkaen toisesta ja korkeammasta. Deep Packet Inspectionin avulla voit havaita ja estää virukset ja suodattaa tiedot, jotka eivät täytä määritettyjä ehtoja.
Sisällys |
Johdanto / Selvitys tietoturvaongelmasta
DPI-järjestelmä suorittaa syvän pakettianalyysin - analyysin OSI-mallin ylemmillä tasoilla, ei vain poikki standard-huoneita verkkoportit. Sen lisäksi, että DPI-järjestelmä tutkii paketteja tietyillä vakiomalleilla, joiden avulla voidaan yksiselitteisesti määrittää, kuuluuko paketti tiettyyn sovellukseen: otsikkomuodon, porttinumeroiden jne. perusteella, DPI-järjestelmä tekee myös ns. käyttäytymisliikenneanalyysiä, joka voit tunnistaa sovelluksia, jotka eivät käytä aiemmin tunnettuja otsikoita tiedonvaihtoon ja tietorakenteisiin, esimerkiksi BitTorrent.
Kaikkien olemassa olevien DPI-ratkaisujen pääongelma on, että jotta voidaan yksiselitteisesti määrittää, kuuluuko tietty tietovirta johonkin verkkosovelluksista, liikenneanalyysiä suorittavan laitteen on käsiteltävä istunnon molempiin suuntiin: saapuvan ja lähtevän liikenteen tulee samassa virtauksessa. kulkea saman laitteen läpi. Jos laite tunnistaa, että se käsittelee vain yhtä suuntaa istunnon aikana, sillä ei ole tapaa korreloida tämä virta minkä tahansa tunnetun liikenneluokan kanssa. Samaan aikaan suuri epäsymmetrisen liikenteen määrä on yleinen skenaario suurille operaattoreille. Eri valmistajat tarjoavat erilaisia ratkaisuja Tämä ongelma.
Toinen yhä yleistyvä ongelma on verkkoliikenteen salaustyökalujen laaja käyttö ja TLS/SSL:n käyttö osana HTTPS-protokollaa, mikä ei salli perinteisten syväanalyysityökalujen käyttöä niille.
DPI-järjestelmät voidaan toteuttaa sekä ohjelmistoissa (Tstat, OpenDPI, Hippie, L7-filter, SPID) että laitteistossa (Allot Communicationsin, Procera Networksin, Ciscon, Sandvinen tuotteet). SISÄÄN viime vuodet jälkimmäisestä vaihtoehdosta on tulossa yhä suositumpi. Näiden ratkaisujen suorituskyky voi vaihdella sadasta Mbit/s - 160 Gbit/s yksittäiselle laitteistolle, jotka voidaan myös yhdistää klustereiksi suorituskyvyn lisäämiseksi. Kustannukset voivat vaihdella useista tuhansista miljooniin Yhdysvaltain dollareihin.
DPI-järjestelmä on pääsääntöisesti asennettu operaattorin verkon reunaan, jolloin kaikki tästä verkosta lähtevä tai tuleva liikenne kulkee DPI:n kautta, mikä mahdollistaa sen valvonnan ja ohjaamisen.
Sovellus
DPI-järjestelmien käyttöönoton ansiosta operaattorilla on tehokas työkalu verkon toiminnan ja kehityksen erilaisten ongelmien ratkaisemiseen.
Kohdennettu mainonta
Koska teleoperaattorit reitittävät kaikkien asiakkaidensa verkkoliikenteen, he voivat analysoida yksityiskohtaisesti käyttäjien käyttäytymistä verkossa, mikä antaa heille mahdollisuuden kerätä tietoja käyttäjien kiinnostuksen kohteista. Näitä tietoja voivat käyttää kohdennettuun mainontaan erikoistuneet yritykset. Tämä lähestymistapa on saanut kansainvälisen hyväksynnän. Pääsääntöisesti tietoja kerätään ilman käyttäjien tietämystä tai suostumusta.
QoS:n käyttöönotto
DPI-järjestelmää voidaan käyttää QoS:n verkkoneutraaliuden toteutuksen rikkomiseen. Siten dataoperaattori voi DPI:n avulla ohjata niiden kanavien käyttöä, joille DPI-järjestelmät on asennettu OSI-kerroksessa 7. Klassinen ratkaisu QoS-toteutuksen ongelmaan perustuu jonojen rakentamiseen, joka perustuu liikenteen merkitsemiseen palvelubiteillä IP-, 802.1q- ja MPLS-otsikoissa prioriteettiliikenteen (esim. VPN tai IPTV) allokoinnilla. Tälle liikenteelle taataan tietty läpäisykyky milloin tahansa. Samaan aikaan ”Best Effort” -periaatteen mukaisesti palvellut liikenne, joka sisältää liikenteen kotitilaajilta, pysyy hallitsemattomana, mikä mahdollistaa useiden protokollien, esimerkiksi BitTorrentin, käyttää vain koko vapaata kaistanleveyttä.
DPI:n käyttö tarjoaa operaattorille mahdollisuuden jakaa kanavan välillä erilaisia sovelluksia ja ottaa käyttöön joustavia liikenteenhallintakäytäntöjä: esimerkiksi sallia BitTorrent-liikenteen käyttää enemmän kaistanleveyttä yöllä kuin päivällä. Toinen operaattorin usein käyttämä vaihtoehto on tietyn tyyppisen liikenteen, esimerkiksi matkapuhelinoperaattoreiden VoIP-puhelun, kaistanleveyden estäminen tai merkittävä rajoittaminen, mikä vähentää taloudellisia menetyksiä, jotka aiheutuvat käyttäjien käyttämättä jättämisestä viestintäpalveluissa.
Tilausten hallinta
Toinen näkökohta DPI-pohjaisen QoS:n käyttöönotossa on pääsy tilauksen kautta. Säännöt, joiden perusteella esto suoritetaan, voidaan määritellä kahdella pääperusteella: palvelukohtaisesti tai tilaajakohtaisesti. Ensimmäisessä tapauksessa määrätään, että erityinen sovellus saa käyttää tiettyä kaistaa. Toisessa sovellus linkitetään kaistalle kullekin tilaajalle tai tilaajaryhmälle muista riippumatta, mikä tehdään DPI-integraation kautta operaattorin olemassa oleviin OSS/BSS-järjestelmiin.
Näin järjestelmä voidaan konfiguroida niin, että jokainen käyttäjä voi käyttää vain niitä palveluita ja niistä laitteista, joista on sovittu etukäteen. Tämän ansiosta teleoperaattorit voivat luoda uskomattoman joustavia tariffisuunnitelmat.
Jos puhumme matkapuhelinoperaattoreiden liikenteestä, DPI antaa sinun hallita kunkin kuormitusta tukiasema erikseen jakaa resurssejaan tasapuolisesti siten, että kaikki käyttäjät ovat tyytyväisiä palvelun laatuun. Tämä ongelma voidaan ratkaista mobiili ydin, joka ei aina ole budjettikohtaista.
Valtion virastojen käyttö
klo DPI-apu tiedustelupalvelut voivat seurata tietyn käyttäjän verkkotoimintaa. Valvonnan lisäksi voit aktiivisesti vaikuttaa tähän toimintaan rajoittamalla pääsyä VPN:n, HTTPS:n ja muiden verkkosisällön analysoinnin mahdottomien keinojen käyttöön. Lisäksi DPI-pohjaisia ratkaisuja käytetään estämään pääsy kiellettyihin verkkoresursseihin Yhdysvalloissa, Kiinassa, Iranissa ja Venäjällä. Niinpä Kiinassa kehitettiin DPI-standardi (Y.2770), jonka myöhemmin hyväksyi Kansainvälinen televiestintäliitto (ITU).
DPI on olennainen osa järjestelmiä, kuten SORM-2 ja Eshelon.
DPI salattua liikennettä varten
HTTPS ja muut salausprotokollat ovat yleistyneet viime vuosina. Salaus suojaa luottamuksellista tietoa käyttäjiä kaikkialla verkossa, mukaan lukien välisolmut. Valitettavasti HTTPS on ollut DPI-laitteiden pitkäaikainen ongelma. Koska pakettien hyötykuorma on salattu, verkon välisolmut eivät voi enää jäsentää hyötykuormaa ja suorittaa tehtäviään. On huomattava, että salausprotokollien käyttö sovellustasolla ei estä DPI-järjestelmää analysoimasta liikennettä enemmän matalat tasot heikentää kuitenkin merkittävästi sen tehokkuutta. HTTPS ei siis estä DPI-järjestelmää tutkimasta paketin TCP-otsikkoa määrittääkseen kohdeportin ja yrittämästä sovittaa sitä tietyn sovelluksen kanssa, mutta se ei estä sitä analysoimasta sovelluskerroksen hyötykuormaa: DPI-järjestelmä voi määrittää paketin ajan, koon ja määränpään, mutta ei sen sisältöä.
Edellä olevan perusteella voimme päätellä, että liikenteen salaus ei häiritse QoS- ja DPI-pohjaisen tilausten hallinnan toteutusta.
HTTPS:n käyttö auttaa suojaamaan tietoja DPI:ltä vain lähetyksen aikana. Jos DPI-järjestelmä on asennettu sille palvelimelle, jonka kanssa asiakas on vuorovaikutuksessa, tiedot käsitellään avoin lomake. Esimerkiksi ollessaan vuorovaikutuksessa Googlen palvelimet, vaikka DPI-järjestelmät käyttävät HTTPS:ää, ne keräävät tietoja kontekstuaalisen mainonnan tarjoamiseksi.
Salatun liikenteen analysointiongelman ratkaisemiseksi jotkin tällä hetkellä kehitettävät DPI-järjestelmät tukevat turvatonta mekanismia HTTPS-yhteyden muodostamiseksi: ne itse asiassa suorittavat MITM-hyökkäyksen SSL-protokollaa vastaan ja purkaa liikenteen salauksen välisolmussa. Tämä lähestymistapa rikkoo periaatetta päittäin salaus, upotettu SSL:ään. Lisäksi se aiheuttaa tyytymättömyyttä käyttäjissä.
Näin ollen joudumme epäedulliseen valintaan vain yhdestä välttämättömästä ominaisuudesta: DPI-järjestelmien toimivuudesta tai salauksen tarjoamasta luottamuksellisuudesta. Ensi silmäyksellä nämä ominaisuudet voivat tuntua olevan ristiriidassa keskenään perustasolla: DPI-järjestelmä ei voi käsitellä paketin sisältöä, jos se ei näe sitä. BlindBox-projekti on omistettu tämän ristiriidan ratkaisemiseen ja molempia ominaisuuksia tyydyttävän järjestelmän rakentamiseen.
BlindBox
Kuvaus
BlindBox-lähestymistapa on analysoida salattu hyötykuorma suoraan ilman, että sen salausta puretaan välisolmussa. Tällaisen järjestelmän rakentaminen käytännössä on vaikea tehtävä: verkot toimivat erittäin suurilla nopeuksilla, mikä vaatii mikro- ja jopa nanosekunteja vaativia kryptografisia operaatioita. Lisäksi monet välisolmut vaativat tukea resurssiintensiivisille toiminnoille, kuten säännöllisen lausekkeen jäsentämiseen.
Mahdollisia ehdokkaita ovat salausmenetelmät, kuten täysin homomorfinen tai toiminnallinen salaus, mutta nämä menetelmät ovat melko hitaita ja heikentävät verkon suorituskykyä useita suuruusluokkia.
Näiden ongelmien ratkaisemiseksi BlindBox on erikoistunut verkon rakentamiseen. BlindBox tukee kahta DPI-laskelmaluokkaa, joista jokaisella on omat tietosuojatakuunsa: täydellisen yhteensopivuuden yksityisyys ja todennäköisen syyn yksityisyys.
Täyden vastaavuuden tietosuojamalli takaa, että välisolmu pystyy havaitsemaan vain liikenteen alijonoja, jotka sopivat täydellisesti tunnettujen hyökkäysavainsanojen kanssa. Jos esimerkiksi sanalle "ATTACK" on sääntö, niin välisolmu tietää, missä virtaussiirrossa, jos ollenkaan, sana "ATTACK" esiintyy, mutta ei tiedä, mitkä muut liikenteen osat ovat. Liikenne, joka ei sisällä avainsanoja, jää välisolmun lukematta.
Todennäköisen syyn tietosuojamalli perustuu eri logiikkaan: välisolmu voi purkaa koko kulun salauksen, jos havaitaan liikenteen osamerkkijono, joka vastaa tunnetun hyökkäyksen avainsanaa. Tämä malli sopii hyökkäysten havaitsemistehtäviin, jotka vaativat analyysiä säännöllisten lausekkeiden tai komentosarjojen avulla. Tämä malli on saanut vaikutteita kahdesta syystä: ensimmäinen on Yhdysvaltain rikoslain "todennäköisen syyn" malli: luottamuksellisuuden loukkaus on mahdollista vain, jos on syytä epäillä. Toiseksi useimmat Snortin hyökkäyksentunnistusjärjestelmän säännöt, jotka käyttävät säännöllisiä lausekkeita, yrittävät ensin löytää hyökkäykseen liittyvät avainsanat paketista ja vasta sitten alkavat käyttää säännöllisten lausekkeiden hakua, koska muuten havaitseminen on liian hidasta.
Molemmat BlindBox-tietosuojamallit ovat paljon tehokkaampia kuin nykyään käytetyt MITM-pohjaiset lähestymistavat. Molemmissa lähestymistavoissa BlindBox suojaa tietoja käyttämällä vahvoja näennäissatunnaisia salausmenetelmiä, jotka tarjoavat samanlaisia turvallisuustakuita kuin hyvin tutkitut kryptografiset hakumenetelmät salatuille tiedoille.
Järjestelmäarkkitehtuuri
Kuva 1 esittää järjestelmän arkkitehtuuria. Osapuolta on neljä - lähettäjä (S), vastaanottaja (R), välisolmu (IN) ja sääntögeneraattori (RG), joka heijastaa päivän standardia välisolmuarkkitehtuuria. Sääntögeneraattori tarjoaa hyökkäyssäännöt (kutsutaan myös allekirjoituksiksi), joita CP:t käyttävät hyökkäysten havaitsemiseen. Jokainen sääntö yrittää kuvata hyökkäystä ja sisältää kenttiä: yhden tai useamman liikenteessä olevan avainsanan, kunkin avainsanan offset-tiedot ja joskus säännöllisiä lausekkeita. GP:n roolia hoitavat nykyään sellaiset organisaatiot kuin Emerging Threats, McAfee ja Symantec. Lähettäjä lähettää liikenteen vastaanottajalle välisolmun kautta, jonka avulla lähettäjä ja vastaanottaja voivat vaihtaa tietoja, jos se ei havaitse liikenteestään allekirjoituksia.
Kuva 1. BlindBox-arkkitehtuuri. Varjostetut elementit edustavat BlindBoxiin lisättyjä algoritmeja.
Tarkastellaan BlindBox-sovellusmallia. Sääntögeneraattori luo sääntöjoukon, joka sisältää luettelon avainsanoista, joita käytetään olemassa olevissa hyökkäyksissä tai jotka ovat kiinnostavia tutkia. GP allekirjoittaa ne salaisella avaimellaan ja lähettää ne PU:lle, sen käyttäjälle. Grafiikkasuorittimeen luottava lähettäjä ja vastaanottaja muodostavat HTTPS BlindBox -määrityksen, joka sisältää GPU:n julkisen avaimen. Alustusvaiheen jälkeen yleislääkäri ei ole enää koskaan suoraan mukana protokollassa. Nyt puhutaan lähettäjän, vastaanottajan ja UE:n välisestä vuorovaikutuksesta, jossa lähettäjä ja vastaanottaja aloittavat yhteyden UE:n ohjaamassa verkossa.
Yhteyden muodostaminen
Ensin lähettäjä ja vastaanottaja suorittavat normaalin SSL-kättelyn, jonka avulla he voivat sopia avaimesta. He käyttävät sitä kolmen avaimen hankkimiseen (esimerkiksi PRNG:n avulla):
Samaan aikaan UE suorittaa oman yhteydenmuodostuksensa mahdollistaakseen lähettäjän ja vastaanottajan liikenteen käsittelyn. Vaihdossa lähettäjän ja vastaanottajan kanssa PU vastaanottaa jokaisen säännön GP:ltä deterministisesti salattuna avaimella k - tämä antaa PU:lle myöhemmin mahdollisuuden suorittaa haun. Tämä vaihto tapahtuu kuitenkin siten, että UE ei tiedä k:n arvoa ja lähettäjä ja vastaanottaja eivät tiedä mitä säännöt ovat. Tätä vaihtoa kutsutaan obfuskoidun säännön salaukseksi, ja se kuvataan yksityiskohtaisesti artikkelissa.
Toisin kuin yllä kuvattu SSL-kättely, joka on identtinen tavallisen SSL-kättelyn kanssa, salaussääntöjen hämärtäminen lisää uusi prosessi. Koska olemassa olevissa ratkaisuissa asiakas ei yleensä kommunikoi suoraan DPI-solmujen kanssa (toisin kuin muun tyyppiset välisolmut, kuten eksplisiittiset välityspalvelimet tai NAT-rei'itys), tämä poistaa DPI:n täydellisen "näkymättömyyden". Tämä on vähäistä. haitta verrattuna BlindBoxin etuihin.
Lähettää liikennettä
Lähettääkseen viestin lähettäjän tulee:
(1) Salaa liikenne perinteisellä SSL:llä.
(2) Jaa liikenne tunnisteiksi (tokeneiksi) jakamalla se eri poikkeuksilla otettuihin osamerkkijonoihin ja salaa tuloksena saadut tunnisteet DPIEnc-salausmenetelmällä.
Havaitseminen
Välisolmu vastaanottaa SSL-salattua liikennettä ja salattuja tokeneita. Havaintomoduuli etsii vastaavuutta salattujen sääntöjen ja salattujen tarrojen välillä käyttämällä BlindBox-tunnistusalgoritmia. Kun vastaavuus löytyy, suoritetaan ennalta määritetty toimenpide: paketti hylätään, yhteys suljetaan, ilmoitus järjestelmänvalvojalle. Kun etsintä on suoritettu, välisolmu välittää SSL-liikenteen ja salatut tunnukset vastaanottajalle.
Liikenteen saaminen
Vastaanottopuolella tapahtuu kaksi toimintaa. Ensin vastaanottaja purkaa ja todentaa liikenteen käyttämällä tavallista SSL-salausta. Toiseksi vastaanottaja varmistaa, että lähettäjä on salannut salatut tunnukset oikein. Tämän ansiosta, vaikka toinen osapuoli yrittäisi huijata, toinen osapuoli pystyy havaitsemaan sen.
DPIEnc-salausjärjestelmä
Lähettäjä salaa jokaisen tagin (tunnisteen) t seuraavasti:
Missä "salt" on satunnaisesti valittu luku, ja RS:n (itse asiassa ReduceSize) merkitys selitetään tarkemmin.
Perustelkaamme DPIEnc-salausjärjestelmän tarve. Oletetaan, että välisolmu lähetti parin (r, (r)) jokaiselle säännölle r, mutta ei avainta k. Aloitetaan tarkastelemalla yksinkertaista determinististä salausmenetelmää DPIEnc:n sijaan: olkoon t:n salateksti yhtä suuri kuin (t). Tarkistaakseen, onko t yhtä suuri kuin avainsana r, PU voi tarkistaa, onko (t) ?= (r). Valitettavasti tämä johtaa alhaiseen tietoturvaan, koska jokaisella t:n esiintymisellä on sama salateksti. Tämän ongelman ratkaisemiseksi meidän on lisättävä salaukseen satunnaisuuden elementti. Siksi käytämme "satunnaista funktiota" H satunnaisen suolan kanssa, ja salatekstin rakenne on seuraava: suola, H(suola, (t)). Tietenkin H:n on oltava yksipuolinen ja näennäissatunnainen.
Tarkistaakseen yhteensopivuuden välisolmu voi laskea H(suola, (r)) -arvon (r):n ja suolan perusteella ja suorittaa sitten tasa-arvon tarkistuksen. Tyypillinen H:n toteutus on SHA-1, mutta SHA-1 ei ole niin nopea kuin nykyaikaisissa AES prosessorit toteutettu laitteistossa, ja tämä voi vähentää suorituskykyä. Sen sijaan BlindBox H on toteutettu AES:n kautta, mutta sitä on käytettävä huolellisesti, koska AES:llä on erilaiset suojausominaisuudet. Vaadittujen ominaisuuksien saavuttamiseksi on tarpeen käynnistää AES välisolmun tuntemattomalla avaimella, kunnes hyökkäystunniste löytyy. Tästä syystä käytetään arvoa (t).
Nyt algoritmi on toteutettu kokonaan AES:ssä, joka tarjoaa suuri nopeus tehdä työtä.
Lopuksi RS yksinkertaisesti pienentää salatekstin kokoa pienentääkseen kaistanleveyden rajoitusta vaikuttamatta turvallisuuteen.
Tässä toteutuksessa RS on 2 - 40. potenssi, mikä antaa salatekstin pituudeksi 5 tavua. Tämän seurauksena salateksti ei ole enää salattavissa, mikä ei ole ongelma, koska BlindBox purkaa aina liikenteen ensisijaisesta SSL-virrasta.
Nyt määrittääkseen avainsanan r ja tunnisteen t salatekstin välisen vastaavuuden välisolmu laskee suolan ja tiedon (r) avulla ja testaa ne sitten c:tä vastaan.
Koska välisolmu luonnollisesti tarkistaa jokaisen säännön r ja tunnisteen t, kokonaisaikakustannus tarraa kohti on lineaarinen sääntöjen määrän kanssa, mikä on liian hidasta.
Tämän viiveen poistamiseksi otetaan käyttöön tunnistusalgoritmi, joka tekee aikakustannusten riippuvuudesta sääntöjen lukumäärästä logaritmisen, kuten klassisissa DPI-algoritmeissa.
Tuloksena on merkittävä suorituskyvyn parannus: esimerkiksi 10 tuhannen avainsanan sääntöjoukossa logaritminen haku on neljä suuruusluokkaa nopeampi kuin lineaarinen haku.
Löytöprotokolla
Välisolmun tila koostuu laskureista jokaiselle säännölle r ja pikahakupuusta, joka koostuu jokaisesta säännöstä r.
Olen ollut aktiivisesti mukana DPI-aiheessa jo usean vuoden ajan tehden ennakkomyyntiä ja toteuttanut näitä ratkaisuja suoraan. Tämän aiheen kirjoittamiseen sai minut se, että Habrén DPI-aihetta on käsitelty melko heikosti, joten haluaisin puhua hieman laitteista, joita johtavat palveluntarjoajat ja suuret yrityskäyttäjät käyttävät älykäs ohjaus liikennettä verkkoihinsa ja selittää myös, miksi he tarvitsevat kaiken tämän.
Perusasiat
DPI-järjestelmä, kuten nimestä voi päätellä, suorittaa syväanalyysin kaikista sen läpi kulkevista paketeista. Termi "syvä" tarkoittaa pakettianalyysiä OSI-mallin ylemmillä tasoilla, ei vain standardiporttinumeroiden perusteella. Pakettien opiskelun lisäksi joillekin vakiokuvioita, jonka avulla voit yksiselitteisesti määrittää, kuuluuko paketti tiettyyn sovellukseen esimerkiksi otsikkomuodon, porttinumeroiden jne. perusteella, DPI-järjestelmä suorittaa myös ns. käyttäytymisliikenneanalyysin, jonka avulla voit tunnistaa sovellukset, jotka eivät käyttää aiemmin tunnettuja otsikoita ja rakenteita tiedonvaihtodataan. Hämmästyttävä esimerkki tästä on Bittorrent. Niiden tunnistamiseksi analysoidaan sarja paketteja, joilla on samat ominaisuudet, kuten Source_IP:port - Destination_IP:port, paketin koko, uusien istuntojen avaustaajuus aikayksikköä kohti jne. vastaavien käyttäytymismallien (heurististen) mallien mukaisesti. sellaisiin sovelluksiin. Luonnollisesti, koska tällaisten laitteiden valmistajia on monia, vastaavien protokollien käyttäytymismalleista on yhtä monta tulkintaa, mikä tarkoittaa, että myös tunnistustarkkuus vaihtelee. Koska puhumme valmistajista, on syytä huomata, että eniten tärkeimmät pelaajat ja niiden tuotteet itsenäisillä DPI-markkinoilla ovat Allot Communications, Procera Networks, Cisco, Sandvine. Reitittimiin integroidut DPI-ratkaisut ovat yhä suositumpia. Monet ihmiset tekevät näin - Cisco, Juniper, Ericsson jne. listan mukaan. Tällaiset ratkaisut ovat pääsääntöisesti melko kompromisseja eivätkä pysty tarjoamaan kaikkia itsenäisille ratkaisuille saatavilla olevia palveluja. Useimpiin tehtäviin tämä kuitenkin riittää. En tarkoituksella mainitse palvelimilla toimivia ohjelmistotuotteita (kuten OpenDPI), niiden markkinat ovat hyvin kapeat ja rajoittuvat yleensä yritys-/kampusverkkoihin, eikä tämä ole profiilini. Tämän DPI:n tärkeä erottuva piirre on kyky analysoida liikennettä keräämällä erilaisia tilastoja sovelluksen, tariffisuunnitelman, alueen, tyypin mukaan eriteltynä. tilaajalaitteet jne. Tästä syystä Ciscon mukaan nimetty upea NBAR, vaikka sen avulla voit havaita ja hallita liikennettä sovellusten mukaan, ei ole täysi DPI-ratkaisu, koska siitä puuttuu useita tärkeitä komponentteja.DPI-järjestelmä asennetaan pääsääntöisesti operaattorin verkon reunaan reunareitittimistä lähtevien olemassa olevien uplink-yhteyksien väliin. Siten kaikki operaattorin verkosta lähtevä tai saapuva liikenne kulkee DPI:n kautta, mikä mahdollistaa sen valvonnan ja ohjaamisen. Tiettyjen ongelmien ratkaisemiseksi voit asentaa tämän järjestelmän ei verkon reunaan, vaan laskea sen alemmas, lähemmäksi loppukäyttäjiä, BRAS/CMTS/GGSN/...-tasolle. Tämä voi olla hyödyllistä niille operaattoreille, jotka a useista syistä, ulkoisten kanavien hyödyntämisen lisäksi, halutaan ratkaista myös sisäisen valvonnan tehtävä. Luonnollisesti tässä puhutaan melko suurista palveluntarjoajista, joilla on iso hajautettu verkko ympäri maata ja melko kalliita kanavakapasiteettia.
DPI-markkinoilla on malleja monenlaisille budjeteille. Markkinoilla olevien laitteiden suorituskyky vaihtelee sadoista Mbit/s ja 160 Gbit/s FDX:stä yhdessä laatikossa, joka on pääsääntöisesti yhdistettävissä klustereiksi. Näin ollen kustannukset vaihtelevat melko vakavasti - useista tuhansista miljooniin Yhdysvaltain dollareihin. Yrityssegmenttien osalta ratkaisut vaativat hitaita yhteyksiä 10/100/1000 tyyppisten kupariliitäntöjen kautta. Operaattoriratkaisut on suunniteltu yhdistämään useita 1GE- ja 10GE-linkkejä. Mitä tulee täysin aikuisille tarkoitettuihin ratkaisuihin, 100GE-liitäntöjen markkinat ovat tällä hetkellä verkkolaitteet on varsin niukka ja kallis, mutta heti kun ensimmäinen todellinen bisnestapaus ilmaantuu, DPI-toimittajat tarjoavat sopivia ratkaisuja, koska osalla on jo valmiit aihiot.
Suurin ongelma kaikissa olemassa olevissa DPI-ratkaisuissa on, että voidakseen yksiselitteisesti määrittää, kuuluuko tietty tietovirta johonkin verkkosovelluksesta, liikennettä analysoivan laitteen on nähtävä istunnon molemmat suunnat. Toisin sanoen saman virtauksen sisällä tulevan ja lähtevän liikenteen tulee kulkea saman laitteen kautta. Jos laite ymmärtää, että se näkee vain yhden suunnan istunnon aikana, sillä ei ole kykyä korreloida tätä virtaa mihinkään tunnettuun liikenneluokkaan kaikkine seurauksineen. Tässä suhteessa nousevien linkkien ohjaamisessa herää hyvin looginen kysymys epäsymmetrisestä liikenteestä, joka enemmän tai vähemmän suurille operaattoreille ei ole eksoottista, vaan arkipäivää. Eri toimittajat ratkaisevat tämän ongelman eri tavoilla:
- Cisco on tyytyväinen puoleen istunnosta ja yrittää määrittää verkkosovelluksen tyypin käyttämällä vain näitä tietoja. Ilmeisesti tällä tekniikalla kärsii sovellusten havaitsemisen tarkkuus, erityisesti ne, jotka vaativat käyttäytymisanalyysimalleja. Lisäksi tällaisessa toteutuksessa on useita rajoituksia, jotka koskevat kykyä hallita tällaista liikennettä.
- Epäsymmetrisen liikenteen ongelman ratkaisemiseksi Sandvine käyttää seuraavaa ideaa - kaikki epäsymmetrinen liikenne lähetetään kapseloimalla yleislähetyskehyksiin kaikkiin yhdessä toimialueen DPI-laitteisiin. Tämän välittämisen seurauksena laitteet, jotka näkivät aiemmin vain yhden suunnan istunnon sisällä, näkevät toisen, jonka perusteella voidaan toteuttaa täysi valikoima liikenteen analysointia ja hallintaa koskevia toimenpiteitä. Tämän järjestelmän haittapuoli on ilmeinen - kun verkossa on suuria määriä epäsymmetristä liikennettä, tietoliikennekanaville, jotka yhdistävät DPI-laitteita eri sivustoilla, asetetaan vakavia vaatimuksia. Joissakin tapauksissa, kun puhumme useiden gigabittien (tai kymmenien gigabittien) luokkaa olevasta epäsymmetrisyydestä sekunnissa, tätä tekniikkaa ei voida soveltaa, koska kanavan järjestäminen sivustojen välillä aiheuttaa korkeita yleiskustannuksia.
- Procera ja Allot tekevät älykkäimpiä asioita. Idea on samanlainen kuin Sandvine-toteutuksessa, sillä erolla, että sivustojen välillä ei lähetetä epäsymmetristä liikennettä, vaan metadataa, joka kuvaa sitä selvästi. Yleensä voimme olettaa, että nämä ovat protokollaotsikoita, vaikka todellisuudessa kaikki on hieman monimutkaisempaa. Tällaisen optimoinnin ansiosta sivustojen välisiä viestintäkanavia koskevat vaatimukset ovat paljon inhimillisempiä verrattuna Sandvine-toteutukseen, voitto voi olla jopa 95%. Joitakin kommentteja ennakoiden vastaan heti - kyllä, se toimii, se on käytännössä vahvistettu tuotantoverkostoissa, toteutin sen henkilökohtaisesti omin käsin.
Mitä seuraavaksi?
Nyt herää looginen kysymys - mitä tehdä tälle kaikelle nyt? Operaattorilla on varsin tehokas työkalu, jolla taitavasti käytettynä voidaan ratkaista erilaisia verkon toimintaan ja sen kehittämiseen liittyviä ongelmia.QoS:n käyttöönotto
Toiminnallisesta näkökulmasta katsottuna operaattori voi ohjata DPI-liitettävien kanavien hävittämistä sovellustasolla. Aiemmin se ratkaisi QoS:n (Quality of Service) toteutusongelmat yksinomaan rakentamalla jonoja, jotka perustuivat liikenteen merkitsemiseen palvelubiteillä IP-, 802.1q- ja MPLS-otsikoissa korostaen korkeimman prioriteetin liikennettä ( monenlaisia VPN, IPTV, SIP jne.) ja takaavat sille tietyn suorituskyvyn milloin tahansa. Best Effort -tyyppinen liikenne, joka sisältää kaiken kotitilaajien Internet-liikenteen (HSI - High Speed Internet), pysyi käytännössä hallitsemattomana, minkä ansiosta Bittorrent sai haltuunsa kaiken vapaan kaistanleveyden, mikä puolestaan johti muiden verkkosovellusten heikkeneminen. DPI:n avulla operaattorilla on mahdollisuus jakaa kanava eri sovellusten välillä. Anna Bittorrent-liikenteen käyttää esimerkiksi yöllä enemmän kaistanleveyttä kuin päivällä, ruuhka-aikoina, jolloin verkossa on paljon muuta verkkoliikennettä. Toinen suosittu toimenpide monien matkapuhelinoperaattoreiden keskuudessa on Skype-liikenteen sekä kaikenlaisten SIP-puheluiden estäminen. Täydellisen eston sijasta operaattori voi sallia näiden protokollien toiminnan, mutta erittäin alhaisella nopeudella, jolloin tietyn sovelluksen palvelun laatu heikkenee, pakottaakseen käyttäjän maksamaan perinteisistä puhelinpalveluista tai erityinen palvelupaketti, joka mahdollistaa pääsyn VoIP-palveluihin.Tilaajien hallinta
Tärkeää on, että säännöt, joiden perusteella muotoilu/esto suoritetaan, voidaan määritellä kahdella pääperusteella - palvelukohtaisesti tai tilaajakohtaisesti. Ensimmäisessä tapauksessa yksinkertaisimmalla tavalla määrätään, että tietty sovellus saa käyttää tiettyä nauhaa. Toisessa sovellus linkitetään kaistalle kullekin tilaajalle tai tilaajaryhmälle muista riippumatta, mikä tehdään DPI-integraation kautta operaattorin olemassa oleviin OSS/BSS-järjestelmiin. Nuo. voit määrittää järjestelmän siten, että tilaaja Vasya, joka on ladannut 100 gigatavua torrentteja viikossa, rajoitetaan samojen torrentien latausnopeudessa 70%:iin hänen ostamansa tariffista vuoden loppuun asti. Kuukausi. Ja tilaajalle Petyalle, joka osti lisäpalvelun nimeltä "Skype ilman ongelmia", Skype-sovellusliikenne ei estä missään olosuhteissa, mutta kaikki muu liikenne estetään helposti. Voit sitoutua User-Agentiin ja sallia selaamisen vain suositelluilla selaimilla. Voit tehdä hankalia uudelleenohjauksia selaimen tai käyttöjärjestelmän tyypistä riippuen. Toisin sanoen vain terve järki rajoittaa tariffisuunnitelmien ja -vaihtoehtojen joustavuutta. Jos puhumme matkaviestinoperaattoreiden liikenteestä, niin DPI:n avulla voit ohjata kunkin tukiaseman kuormitusta erikseen jakamalla BS-resurssit tasapuolisesti niin, että kaikki käyttäjät ovat tyytyväisiä palvelun laatuun. Tietenkin tämä ongelma voidaan ratkaista mobiiliytimen avulla, mutta tämä ei aina ole budjetista. Koska mainitsin matkapuhelinoperaattorit, haluaisin huomauttaa, että jokainen itseään kunnioittava LTE:n EPC (Evolved Packet Core) -paketin ytimen valmistaja integroi DPI-toiminnallisuuden PDN-GW-verkkoonsa, joka on räätälöity matkapuhelinoperaattoreiden ongelmien ratkaisemiseksi.Miksi tämä kaikki on välttämätöntä?
Tämä kaikki ei tietenkään kuulosta kovin optimistiselta, mutta monille operaattoreille on taloudellisista syistä paljon halvempaa asentaa DPI-järjestelmä ohjaamaan kanavien käyttöä kuin laajentaa uplink-yhteyksiä. Lisäksi tehdä tämä ilman merkittäviä tappioita tilaajakunnalle, koska... On ollut pitkään tiedossa, että suurin osa liikenteestä syntyy noin 5 % aktiivisimmista tilaajista. Ja tässä tapauksessa operaattorin on taloudellisesti kannattavampaa vähentää tilaajakuntaa, mutta maksaa vähemmän rahaa nousevista linkeistä, koska aktiivisimmat lataajat lähtevät, minkä vuoksi operaattorin on pakko maksaa joka kuukausi huomattavan summan rahaa uplinkeistä. Se on jokaisen markkinoijan painajainen, mutta joissakin tapauksissa asiakkaiden menettäminen voi olla kannattavaa. Tilanteen herkkyys on siinä, että ennemmin tai myöhemmin tulee hetki, jolloin kaikki operaattorit tavalla tai toisella muokkaavat jotain DPI:n avulla. Nuo. Jos tänään yksi operaattori alkaa leikkaamaan torrentteja, aktiivisimmat lataajat siirtyvät välittömästi toiselle. Tämän jälkeen hänen kanaviensa kuormitus lisääntyy huomattavasti ja asiakkaat alkavat valittaa siitä, että verkkoselailu ei toimi hyvin. Operaattori ajattelee, laskee ja lopulta ostaa DPI:n. Ja niin edelleen, kunnes kaikki markkinoiden toimijat hankkivat samanlaisen järjestelmän. DPI:n asentaminen ei tietenkään vapauta operaattoria tehtävästä ajoittain laajentaa nousevia linkkejä ja lisätä tilaajien pääsynopeuksia. Nyt nämä laajennukset eivät vain ole hallitsemattomia. Nuo. operaattori tietää aina, millaista liikennettä ja kuinka paljon sen kanavien kautta kulkee, tämä on ennakoitavissa. Tietenkin, kun on kyse miljoonan dollarin laatikoista, kyse ei ole vain uplinkeistä, sinun on ymmärrettävä se. Oma mielipiteeni, ensiarviolta, laajakaistaisen Internet-yhteyspalvelun käyttäjänä on, että kaiken leikkaaminen ja estäminen on tietysti huonoa ja täysin väärin. Mutta kun tarkastellaan insinöörin silmin liikennemäärien kasvuvauhtia, DPI:n käytöstä tulee pelastus monille operaattoreille, koska Torrentit pystyvät nykyään häiritsemään melkein minkä tahansa uplinkin.Uusi palvelumalli
Siirtyimme sujuvasti verkon ja sen palvelujen kehittämiseen. Tarkastelemalla, miten tilaajat käyttävät ostamaansa kaistaa ja mitä sovelluksia he käyttävät, operaattori voi tutkia kunkin tilaajaluokan tarpeita ja tarjota heille joustavampia ja kehittyneempiä tariffisuunnitelmia. Esimerkiksi sen tosiasian perusteella, että hopeatariffin tilaajat käyttävät aktiivisesti kolmannen osapuolen SIP-puhelinpalveluita, voit tarjota heille lisäpaketin, jonka avulla he voivat käyttää samanlaista operaattorin tarjoamaa palvelua, mutta alennuksella. Muut tilaajat, jos he haluavat käyttää halvempaa puhelinta, motivoituvat vaihtamaan kalliimpaan tariffiin ostamalla lisäbonuksia lisääntyneen nopeuden muodossa. Voit keksiä monia tapauksia, tämä on vain yksi niistä. Allot-yhtiö esitti näkemyksensä yksilöllisistä palveluista esityksessään, josta otteita on mainittu Habressa kerran julkaistussa materiaalissa. Lähestymistapa on erittäin mielenkiintoinen ja hyödyllinen sekä käyttäjälle että operaattorille. Tietoliikennemarkkinoiden kehitystrendit ovat sellaiset, että operaattoreiden on pian yksinkertaisesti kannattamatonta myydä putkea, kuten nyt on tehty paljon tutkimuksia. ARPU ei kasva, kilpailu on kovaa, laitteita on päivitettävä yhä useammin, operaattorikustannukset nousevat, eikä voittohalu katoa. DPI:n tehtävänä tässä yhteydessä on toteuttaa uusia malleja palvella loppukäyttäjälle. Jotkut globaalit toimijat ovat jo siirtymässä kohti tätä ideaa pienin askelin. Venäjällä tämä prosessi on tietysti pitkä ja tuskallinen, koska... Tehtävän saavuttamiseksi on tarpeen rakentaa tilaajien aivot uudelleen eri taajuudelle, mikä on erittäin vaikeaa, koska Ei ole helppoa vieroittaa ihmistä olemaan lataamatta torrentteja, vaan ostamaan laillista sisältöä. En haluaisi aloittaa nyt keskustelua aiheesta "Mistä saan laillista sisältöä?", tämä on asia erikseen, ja olen erittäin iloinen, että tämä on siirtynyt umpikujasta (esim. ivi, omlet, zabava jne. yhdessä älytelevisioiden myynnin kasvun kanssa). Toivottavasti nämä projektit eivät keskeydy. En vielä haaveile Netflixistä, mutta se olisi hienoa.DPI toimii erinomaisesti erilaisten VAS (Value Added Services) -järjestelmien kanssa, kuten roskapostin, virustentorjunnan, videon optimoijien jne. Toiminnan ydin on ohjata osa liikenteestä järjestelmänvalvojan määrittelemien kriteerien mukaisesti kolmannen osapuolen laitteet, syvempää analysointia ja käsittelyä varten.
On melko helppoa järjestää lapsilukkopalveluiden tarjoaminen käyttäjille, jotka ovat yhä tärkeämpiä.
