Еще одна трудность связана со стремительным ростом и активным распространением большого количества приложений, использующих динамически назначаемые порты. В такой ситуации традиционные подходы к идентификации формируемых соединений по статическим портам TCP/UDP становятся неактуальными. Закрытость и непрозрачность, применение различных механизмов шифрования, использование веб-интерфейса для доступа к приложениям, скрывающимся за протоколами HTTP/HTTPS, порождают сложность классификации сетевого трафика.
Не стоит забывать и о том, что при переходе в облако клиент консолидирует свои ресурсы на удаленной площадке хостинг-провайдера, попадая в зависимость от производительности и пропускной способности каналов связи. В идеале взаимодействие с облаком должно быть эффективным, отличаясь высокой степенью адекватности с точки зрения времени отклика. Для оценки происходящего, управления облачным трафиком и решения озвученных проблем необходимо применение соответствующих механизмов. Вопрос — каких?
В подобных случаях лучше всего использовать технологию глубокого исследования пакетов DPI (Deep Packet Inspection). Чем хороша технология и каковы ее возможности в облаке IaaS-провайдера, обсудим в этой статье.
# Глубокий анализ трафика
Таблица 1. Модель OSI и DPI
| Уровень | Модель OSI | Объект управления | Возможность обработки DPI |
| 1 | Прикладной | Данные | Да |
| 2 | Представления | Данные | Да |
| 3 | Сеансовый | Данные | Да |
| 4 | Транспортный | Блоки | Да |
| 5 | Сетевой | Пакеты | Да |
| 6 | Канальный | Кадры | Да |
| 7 | Физический | Биты | - |
Природа DPI несколько разнообразнее, что сводится к возможностям не только фильтровать трафик стандартными способами, но также выполнять поведенческий анализ проходимых через «воронку DPI» пакетов. Этот метод имеет несложную логику, в основе которой лежит анализ протоколов, портов, сигнатур и т. д. На основании полученных результатов анализа происходит определение принадлежности пакета к соответствующему типу трафика, и в зависимости от заданных правил над ним происходит установленное действие.
Еще одна особенность DPI заключается в совместимости с системами типа VAS (Value Added Services), а также различными антивирусами, антиспам-приложениями и прочим аналогичным софтом. Такая «уживаемость» с другими решениями обеспечивает возможность передачи части трафика на сторонние устройства, что позволяет выполнять еще более глубокий анализ и обработку.
# Умное распределение канала между приложениями
Еще одна задача, которую решает DPI, связана с распределением канала между различными приложениями (QOS). Такая особенность дает возможность облачным поставщикам распределять канал в соответствии с заданными условиями и критериями. Допустим, разрешать трафику какого-либо приложения забирать больше полосы в определенный момент времени или же разрешать работу нужных протоколов на пониженной скорости вместо полного их блокирования.
Очевидно, что DPI по-своему работает с правилами, согласно которым происходит блокировка или шейпинг полосы.
| Конкретному приложению можно разрешить использование фиксированной полосы канала (режим работы per - service) либо организовать привязку приложения к полосе для отдельно взятого подписчика или группы подписчиков (режим работы per - subscriber). |
# Статистика по используемым приложениям
Есть выражение: «DPI — это нечто большее, чем просто порты и протоколы. Сделали выбор в пользу DPI — значит, отказались от черно-белого телевидения в пользу цветного HD». По сути, так и есть. Технология позволяет идентифицировать приложения по именам, а наличие информации об используемых приложениях в инфраструктуре дает яркое представление о происходящем. По полученной статистике можно понять, что именно делают пользователи и в какой момент происходит событие.
Кроме того, DPI можно использовать для устранения «неполадок» и определения ситуации на местности. Скажем, пользователи стали жаловаться на неадекватно медленный отклик используемого VoIP-приложения, запущенного на удаленной площадке в облаке по модели IaaS. Анализ ситуации с помощью DPI позволяет быстро установить первопричину. Результат проверки покажет, что, например, один из пользователей начал загрузку больших файлов, используя BitTorrent, и напрочь снизил производительность VoIP. Но, как упоминалось выше, можно выполнить правильное перераспределение мощностей, чтобы ни при каких условиях не страдал важный для рабочего процесса сервис.
# Защита от атак
Атаки типа «отказ в обслуживании» DOS/DDOS до сих пор остаются привлекательными для злоумышленников, что ставит под угрозу как поставщиков облачного хостинга, так и иных игроков рынка. В радиус действий чаще всего попадают приложения, хосты, серверы, критически важные ресурсы, маршрутизаторы и иные устройства, обеспечивающие связность сети. Помимо вышесказанного, атаки зачастую направлены на ограничение пропускной способности, чтобы сделать передачу легитимного трафика максимально ограниченной либо вовсе невозможной. Ниже приведем наиболее распространенные виды атак и то, как с ними справляется DPI.
TCP Syn Flood
Особенность атаки заключается в нарушении «трехразового рукопожатия», когда узлу в облаке отсылается SYN-пакет, на который он отвечает пакетом SYN-ACK, но не получает обязательного обратного ACK-подтверждения, необходимого для установки сессии. В результате происходит открытие и подвисание огромного количества соединений, которые закрываются по истечении определенного времени. В случае превышения количества запросов/ответов, машина в облаке перестает принимать пакеты любого другого типа и становится недоступной. Отказ в обслуживании наступает при потоке SYN-flood 100 000–500 000 пакетов в секунду. В то же время даже гигабитный канал позволяет злоумышленнику направить на атакуемый объект поток до 1,5 миллионов пакетов в секунду.
Как с проблемой справляется DPI?
DPI перехватывает SYN-запросы, направленные к защищаемым ресурсам в облаке. В нормальном режиме работы устройства формируется белый список адресов, с которых поступают легитимные запросы. В случае атаки наблюдается превышение активности, превосходящей установленную норму. Такой трафик DPI перехватывает автоматически.
UDP Flood
В основе этой атаки лежит протокол UDP, который, как известно, не требует установки сессии и отправки какого-либо ответа. В случайном порядке атакуются порты удаленного узла в облаке и отсылается огромное количество пакетов данных. В результате узел начинает проверять, используется ли порт, на который приходит пакет, каким-либо приложением. Поскольку таких пакетов — масса, машина не справляется с задачей и перестает отвечать на запросы.
Как с проблемой справляется DPI?
DPI решает задачу путем отбрасывания неактуального для защищаемого источника набора протоколов c возможностью ограничения пропускной полосы. Для веб-сайтов, к примеру, рабочими протоколами будут HTTP, HTTPS, поэтому DPI обработает только их, отбросив остальные.
# Выполнение федеральных законов
Согласно нашумевшему закону 139 ФЗ, любой провайдер, в том числе и поставщик IaaS-услуг, должен мониторить трафик согласно установленным «черным спискам» и блокировать контент, запрещенный на территории Российской Федерации. Соблюдение федерального закона сводится к использованию технологии DPI, с помощью которой можно отследить любой тип трафика.
К слову сказать, инструментов, способных выполнять глубокий анализ трафика на основе DPI, сегодня предостаточно. Например, решение «» российской компании уже успело зарекомендовать себя как многофункциональное DPI-устройство, способное решать огромный спектр задач, будь то фильтрация по реестру запрещенных сайтов, сбор информации по протоколам, приоритизация трафика и распределение канала доступа между абонентами, защита от DOS- и DDOS-атак и многое другое.
В завершение хочется отметить, что за DPI не только будущее, а уже вполне наступившее настоящее. Не зря еще несколько лет назад аналитическое агентство Gartner заявляло, что DPI — это следующая фаза эволюции фаерволов. По сути, так оно и есть.
Посетите наш
