Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (59)
  • добавить в избранное
    Добавить в закладки

С чем едят DPI? С антивирусом

Прочитали: 2332 Комментариев: 87 Рейтинг: 107

Все слышали о блокировках доступа к тем или иным интернет-ресурсам, а многие сталкивались с этим явлением на собственном опыте. К сожалению, в ходе этих блокировок помимо сайтов, доступ к которым должен быть закрыт, блокируются и те, которые блокировать не предполагалось. Почему так происходит и можно ли этого избежать?

Проблема в том, что Интернет на данный момент напоминает коммунальную квартиру. «Коммуналка» имеет адрес, на который приходят письма и уведомления, но вот кому конкретно приходит почта, разбираются сами жильцы. В Интернете все устроено аналогично: пользователи обращаются к сайтам по адресу, но (сюрприз!) на каждом адресе может быть несколько ресурсов. Точно так же партнеры пишут в некую компанию по единому адресу, и тем не менее информация доходит до получателей. В результате, если блокируется некий адрес, то блокируются и правые, и виноватые (и бабка-самогонщица, и вполне законопослушные жители квартиры).

В настоящее время в Едином реестре запрещенной информации содержится около 95 тыс. адресов сайтов, содержащих запрещенную информацию, доступ к которым ограничивается на территории Российской Федерации. Каждой записи соответствуют индивидуальный набор идентификаторов, состоящих из IP-адреса, доменного имени и конкретной URL-страницы.

На одном IP-адресе могут находиться одновременно от одного до нескольких тысяч доменов.

Пример:

На текущий момент на внесенном в реестр IP 75.126.100.10 — находится 81 домен, блокируемый заодно (проверка первого IP тут, далее каждый может проверить каждый конкретный IP-адрес самостоятельно), на 107.23.136.142 — 4 домена, а на 50.63.202.6 — аж 10002 ресурса.

https://rublacklist.net/33100

И это – не единственный недостаток блокировки по адресам. Такая блокировка вообще малоэффективна: злоумышленники могут легко переходить на незаблокированные ресурсы, использовать прокси-серверы, «клонировать» заблокированные сайты.

И не надо думать, что блокировка – это зло. Те же самые шифровальщики, клавиатурные шпионы, банковские и рекламные троянцы – все они связываются с командными центрами, блокировка которых – эффективное средство борьбы со злоумышленниками.

Минимизировать проблемы может DPI. Собственно говоря, о том, что только широкое использование DPI может сделать блокировки эффективными, было ясно сразу, но широко обсуждать это в СМИ стали после появления очередного приказа Роскомнадзора (PDF).

Что же такое DPI? Вопреки распространенному мнению, это не продукт, а название технологии. Точнее даже – группы технологий.

Deep Packet Inspection (сокр. DPI) — технология накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому.

DPI-решения подключаются к каналу передачи данных и перехватывают все сетевые пакеты проходящего через него сетевого трафика или сетевые пакеты только определенного протокола (например, веб-трафик). Каждый сетевой пакет распаковывается, и производится анализ его параметров и содержимого.

Анализ производится на предмет наличия в передаваемых сетевых пакетах данных, не соответствующих заданным правилам (вредоносная программа, сетевая атака, спам, конфиденциальная или иная информация, не соответствующая законодательству и др.), исходя из задач, решаемых DPI-решением.

По итогам анализа сетевого трафика DPI-решения могут формировать необходимую статистическую информацию, которая может быть использована для выявления аномалий (поведенческий анализ), улучшения качества обслуживания для пользователей (QoS), оперативно-разыскных мероприятий (СОРМ).

Deep Packet Inspection может принимать решение не только по содержимому пакетов, но и по косвенным признакам, присущим каким-то определенным сетевым программам и протоколам. Для этого может использоваться статистический анализ (например, статистический анализ частоты встречи определенных символов, длины пакета и т. д.).

Deep Packet Inspection часто используются провайдерами для контроля трафика, а иногда и для блокировки некоторых протоколов, таких как BitTorrent. С помощью Deep Packet Inspection можно определить, какое приложение сгенерировало или получает данные, и на основании этого предпринять какое-либо действие.

Помимо блокирования, Deep Packet Inspection может собирать подробную статистику соединения каждого пользователя по отдельности.

https://ru.wikipedia.org/wiki/Deep_packet_inspection

http://lab.infosec.uz/site/dpi

https://habrahabr.ru/company/vasexperts/blog/315008

То есть DPI – это дальний родственник превентивной защиты. Он работает по определенным правилам, в том числе анализируя информацию внутри пакетов данных, передаваемых по сети. Благодаря этому можно точно узнать не только точное место, куда и откуда идет обращение, но даже идентифицировать программу, установившую обращение и пользователя. Статистика, как известно, знает все.

В случае использования DPI провайдер может классифицировать трафик вне зависимости от IP-адреса и порта. Таким образом, заблокированные сайты не будут открываться, даже если вы используете прокси-сервер на совершенно другом порту и незаблокированном IP-адресе.

DPI – это не просто средство блокировки доступа. Это – система анализа пакетов, позволяющая провайдеру производить определенные действия. Например:

Когда-то я работал в местечковом провайдере WiMAX. У нас была довольно небольшая база абонентов, но все они физики (физические лица), и выход в Интернет порядка 30 Мб/с. С физиками есть одна проблема — они любят торренты и P2P-сети. Если с последними все относительно просто — если провайдер этого не делает, то и пользователи сами вряд ли скооперируются, то с торрентами настоящая беда. Трафик протокола BitTorrent сложно отследить стандартными средствами, тем более что механизмы работы протокола постоянно адаптируют под меняющиеся реалии. Это стало настоящим бичом компании: в час наибольшей нагрузки сеть лежмя лежала.

https://telekomza.ru/2012/03/26/zachem-nam-nuzhen-dpi

Страна у нас большая, каналы не везде «толстые», а фильмы смотреть хотят все (ну или бизнес замутить собственный через Интернет). В результате нагрузка на канал возрастает до величин, при которых сеть «ложится» у всех клиентов провайдера. Итог – их недовольство, возмущенные звонки, уход к конкурентам.

График «одного из операторов» с общим трафиком в 20 Гбит/с. Торрент-трафик составляет в общем объеме 37,5%.

#drweb

#drweb

https://nag.ru/articles/article/28436/ekonomika-programmnyih-i-apparatnyih-dpi-na-primere-cisco-sce-i-skat.html

Циничный оскал капитализма. Зажимаем трафик по торрентам, и сеть работает стабильно, подавляющая часть клиентов довольна.

Анализ трафика также позволяет выявить повторяющиеся запросы (например, фильмы в момент релиза). А значит, можно собрать их в кэш и выдавать пользователям оттуда. Отдача востребованных объектов клиентам ускоряется, все довольны, включая провайдера, которому не нужно платить за лишний трафик.

Что кэшируем: видеоконтент популярных сервисов, таких как YouTube, RuTube, и обновления Windows, браузеров, антивирусов и другого ПО, а также часто повторяющиеся файлы (например, библиотеки jquery, картинки и т. п).

#drweb

https://nag.ru/articles/article/28436/ekonomika-programmnyih-i-apparatnyih-dpi-na-primere-cisco-sce-i-skat.html

https://habrahabr.ru/company/vasexperts/blog/313556

В связи с цитатой выше – «минутка воспоминаний». Кэширование однажды даже стало проблемой, так как антивирус получал устаревшие обновления из кэша провайдера, а не актуальные, с собственных серверов. Кэш провайдера видел повторяющиеся обновления – и выдавал старую версию файла. Давно это было!

Но вернемся от продвинутых возможностей к безопасности и блокировкам. Что здесь может DPI?

В настоящее время DPI технология получила широкое применение в следующих средствах и системах:

  • системы обнаружения и предотвращения вторжений IDPS, использующие методы сигнатурного и поведенческого анализа сетевого трафика в целях обнаружения и блокировки в нем вредоносных кодов и команд;
  • средства защиты от утечек конфиденциальной информации (DLP), в которых технология DPI применяется для поиска конфиденциальной информации в сетевом трафике с применением сигнатурного и контентного анализа;
  • анализаторы сетевого трафика (снифферы), перехватывающие сетевые пакеты с содержанием требуемого контента;
  • межсетевые экраны веб-приложений (Web Application Firewall), использующие технологию DPI для анализа и мониторинга веб-трафика в целях выявления и предотвращения атак и вредоносных программ, специфичных для веб-приложений;
  • контент-фильтры (веб-фильтры), осуществляющие анализ веб-трафика по содержанию, отфильтровывая контент, не отвечающий политике безопасности, используя при этом контентный анализ трафика;
  • спам-фильтры, выполняющие фильтрацию нежелательных электронных сообщений в почтовом трафике;
  • средства управления и оптимизации сетевого трафика операторов сетей передачи данных, интернет-провайдеров и мобильных операторов, которые используют технологии DPI для оптимизации и улучшения качества обслуживания пользователей, уменьшения заторов в сети и контроля проходящего трафика любого своего клиента.

http://lab.infosec.uz/site/dpi

Замедляет ли DPI скорость работы в Интернете? Необязательно. Естественно, DPI может ставиться «в разрыв», когда весь трафик поступает на него и анализируется до передачи дальше, но он может ставиться и параллельно основному каналу передачи данных. В этом случае данные будут ответвляться на серверы DPI.

Пассивный DPI — DPI, подключенный в провайдерскую сеть параллельно (не в разрез) либо через пассивный оптический сплиттер, либо с использованием зеркалирования исходящего от пользователей трафика. Такое подключение не замедляет скорость работы сети провайдера в случае недостаточной производительности DPI, из-за чего применяется у крупных провайдеров. DPI с таким типом подключения технически может только выявлять попытку запроса запрещенного контента, но не пресекать ее. Чтобы обойти это ограничение и заблокировать доступ на запрещенный сайт, DPI отправляет пользователю, запрашивающему заблокированный URL, специально сформированный HTTP-пакет с перенаправлением на страницу-заглушку провайдера, словно такой ответ прислал сам запрашиваемый ресурс (подделывается IP-адрес отправителя и TCP sequence).

https://github.com/ValdikSS/blockcheck/wiki/Типы-DPI

При этом слово DPI само по себе не говорит ни о чем (стандарт от Международного союза электросвязи Y.2770 появился совсем недавно). В связи с этим существует множество реализаций от разных поставщиков DPI-решений, отличающихся по типу подключения и типу работы. Есть, кстати, возможность собрать DPI и самостоятельно – на основе свободных решений.

Есть и ограничения. Технические спецификации Y.2770 не предусматривают инспекции зашифрованного трафика, но предусматривают обязательную инспекцию его незашифрованных фрагментов.

Почему же DPI не применяются повсеместно? Есть волшебное слово «монетизация». Пользователи воспринимают качественный доступ как должное и не хотят доплачивать за дополнительные услуги (скажем, за фильтрацию на вредоносные программы на уровне провайдера – «Это же их обязанность!»), а провайдеры не хотят внедрять оборудование и программы, которые не будут как-то «отбиваться» за счет продажи услуг.

#технологии #безопасность

Dr.Web рекомендует

Ножом можно и убить, и сделать бутерброд. Как мы используем нож – зависит только от нас. DPI – технология. Сама по себе она не несет вреда. Ее использование может быть выгодно, но может и удушить. Сама технология ни в чем не виновата.

Может ли DPI заменить антивирус? Нет. DPI может обнаруживать вредоносные программы, являясь по сути развитием брандмауэра, но для этого ей нужно собрать файл целиком, чтобы проверить его с помощью вирусных баз. Это означает, что передача файла пользователю будет задержана до момента его полного получения провайдером. Неудобно от этого – пользователям.

Кроме того, DPI не может обнаруживать вредоносные файлы, передаваемые в ходе защищенных соединений, и неизвестные вредоносные файлы – в ходе передачи данных невозможно проанализировать их с помощью превентивной защиты. Поэтому DPI – это дополнение к антивирусу.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: