КонтактыКонтакты
На предыдущую страницу
Решения

Система анализа трафика. Как работает DPI

Технология Deep Packet Inspection (DPI) появилась на рынке телеком-решений в конце нулевых — начале десятых, и с тех пор стала использоваться повсеместно. DPI подразумевает глубокий анализ данных в потоках трафика. Разница между обычным трафик-инспектором и «глубоким» в первую очередь в том, что DPI выполняет анализ не только по стандартным номерам портов, но и задействует верхние уровни модели OSI.

DPI анализирует пакеты данных по стандартным паттернам, которые позволяют безошибочно классифицировать связь пакета с конкретным приложением. Для определения могут использоваться любые сигнатурные данные, такие как формат заголовков или номера портов.

Кроме этого, система контроля и анализа трафика DPI может проводить поведенческие исследования. Подобный анализ способен вычислить в потоке приложения, которые не используют для обмена данными заранее известные структуры. Примером может служить любой торрент-трекер. DPI проводит поведенческий анализ последовательности пакетов и соотносит их признаки, чтобы определить (детектировать) приложение. В работе с торрентами это, как правило, Source_IP:port, Destination_IP:port, характерная частота запуска новых сессий в единицу времени.

Deep Packet Inspection

DPI может собирать статистические данные, которые используются телеком-провайдерами в маркетинговых целях. Причем DPI умеет собирать статистику не только по приложениям, но и по тарифным планам абонентов сети, и по геолокации, и по пользовательским устройствам, что сейчас представляет особый интерес, поскольку большинство провайдеров продвигает собственные TV-приставки. Обладая этими данными, провайдер может создавать интеллектуальные индивидуальные тарифы, «заточенные» под характер использования сети абонентом.

Особенности установки DPI

Для установки DPI есть два наиболее популярных формата: на границе сети оператора, то есть в разрыв действующих аплинков пограничных маршрутизаторов. При использовании такой модели весь исходящий и входящий трафик сети оператора фильтруется DPI. Таким образом, DPI получает доступ не только к общей картине для мониторинга пакетов, но и возможность контролировать их приоритизацию.

Второй популярный формат установки — установить DPI в качестве BRAS для агрегации пользовательских подключений из сети уровня доступа. Такой подход позволяет решать ряд задач по оптимизации работы внутренних каналов связи. Например, представить широкую полосу более значимым отделам.

Еще одной неочевидной функцией DPI может быть защита данных при отправке по сети. DPI также способен косвенно указывать на вредоносное ПО и блокировать соответствующие пакеты.

Что происходит на рынке DPI

На сегодняшний день рынок DPI-решений достаточно разветвлен и разнообразен. Есть и полноценные DPI-платформы, есть и сервисы, которые лишь частично обладают функциональностью по анализу и контролю пакетов, например, классический NBAR от вендора Cisco.

Среди популярных решений можно выделить, например, Ericsson SmartEdge 1200. Технология отлично зарекомендовала себя в прошлом, но с возникновением дефицита IPv4 и повсеместным переходом на IPv6 система оказалась недееспособной. В действующих небольших сетях, которые не планируют масштабироваться, использование SE 1200 до сих пор допустимо, но при росте нагрузки возможны отказы в работе.

Другой популярный пример — Cisco SCE 8000. Устройство по-своему уникальное, поскольку оно остается важной частью экосистем даже несмотря на то, что уже снято с производства в пользу линейки ASR. Устройство частично обладает функциями DPI-систем, такими, как Subscriber Manager (SM) или Collection Manager (CM), функциями мониторинга трафика, но имеет ряд ограничений, как в работах с высокими нагрузками, так и в плане маркетинговых исследований. Например, показу определенных объявлений в рамках абонентской сети.

Cisco ASR9001 пользуется особой популярностью на рынке DPI благодаря хорошим показателям масштабируемости, а также гибкости сервисов и доступности в транспортных сетях Carrier Ethernet. С другой стороны, пропускную способность можно назвать лишь условно высокой — 120 Гб/с, поскольку на рынке есть устройства, которые работают почти в 2 раза быстрее.

Один самых важных аспектов DPI — скорость обработки трафика. Если еще пять лет назад потолком считалось значение 160 Гб/сек, то современные DPI-решения выдают на одном процессоре до 200 Гб/сек.

В начале 2020 года также появилась проблема с IP-адресами. Дело в том, что IPv4 закончились, и было объявлено о массовом переходе на IPv6. Решения, работающие по типу СКАТ DPI, научились не только облегчать переход, но и решать проблему ограниченности адресного пространства при помощи CG-NAT. Появилась возможность использовать единый публичный IPv4 сразу несколькими юзерами.

Зачем компаниям использовать DPI

С точки зрения экономии средств, установка DPI-систем выглядит более выгодным вложением ресурсов, чем расширение аплинков с целью утилизации каналов. По статистике, большую часть трафика в сети генерируют 5-10% наиболее активных абонентов. DPI в этом плане можно настроить таким образом, чтобы постоянные пользователи торрент-трекеров не получали высокий приоритет, а провайдер не тратился на каждый месяц на аплинки. С точки зрения маркетинга, оператор теряет абонентов, которые активнее всех потребляли ресурсы, но само поддержание инфраструктуры становится выгоднее. Кому-то может показаться парадоксальным этот момент, но потеря определенной части аудитории, которая съедала большую часть ресурсов, легко восполняется практически на любом рынке. Пополнение клиентской базы осуществляется за счет того, что общее доверие к провайдеру и к качеству его услуг только возрастает, когда активные абоненты уходят к другому оператору.

Во времена становления DPI наблюдался такой процесс, что активные пользователи торрентов постепенно мигрировали от одного провайдера к другому, когда те устанавливали систему анализа трафика и рубили скорость загрузки файлов. Постепенно это становилось вынужденным решением, поскольку приход новых активных абонентов резко нагружал сеть и снижал скорость для всех пользователей. Нечто подобное наблюдалось во время карантина, когда большинство пользователей стали проводить с компьютерами и TV дополнительное время.

Таким образом DPI стал «must have» решением практически у всех провайдеров, хотя полностью с операторов это задачу по расширению аплинков, конечно, не снимало, но упорядочивало процесс.

Применения DPI открыло возможность операторам видеть, какой трафик идет по каналам и прогнозировать/приоритизировать определенные пакеты данных. Это дает возможность пользователям не чувствовать проседания сети, даже в тех ситуациях, когда множество абонентов используют торренты или любой другой тяжелый вид трафика, например, онлайн-игры или Smart-TV.

Заключение

Решения DPI становятся все более востребованы на рынке телеком-решений, поскольку они обладают достаточно широкой функциональностью и приносят реальную выгоду телеком-компаниям, выраженную в экономии ресурсов, повышении уровня безопасности путем контроля данных и увеличении рекламных возможностей.

Если у вас остались какие-либо вопросы, связанные с работой DPI и применением технологии на практике, — обращайтесь к специалистам ITGLOBAL.COM.

Оцените данную статью

Узнавайте о выходе новых статей в блоге первыми!

Подпишитесь на нашу рассылку
Нажимая на кнопку, Вы соглашаетесь с условиями «Политики конфиденциальности»
Консультация по услугам