Comments 8
6. Уведомление абонентов
Реализуется, как HTTP Inject, внедряя в пакет, например, должнику следующее:
7. Защита
Использование DPI подразумевает регулярно обновление сигнатур. С одним из последних апдейтов прилетела сигнатура, которая маркировала всё AVG, как Malware, что выводило трафик в цепочку блокировки вредоносной ереси. Пользователи лишись апдейтов для антивируса и даже, что любопытно, не могли зайти на сайт avg. Но это единичный забавный инцидент с отдельно взятым вендором DPI решений.
Это из личного опыта использования DPI. Также DPI решение можно использовать для тарификации подписчиков и выполнения сценариев при превышении пороговых значений. Так, например, настроен триггер, который при превышении NTP трафиком по одному IP порогового значения запускает скрипт, который отсылает «куда следует» команду засунуть несчастного в blackhole community. Резкий, но эффективный способ противодействия NTP Amplification атаке, которая влёгкую может забить аплинк.
Мощность отдельных решений такова, что при большой базе сигнатур, можно запретить логиниться в World of Warcraft эльфам-друидам 70 уровня в рабочие дни после 8 часов вечера (хоть так на БГ без школьников поиграю), так что don't be evil и соблюдайте сетевой нейтралитет.
Реализуется, как HTTP Inject, внедряя в пакет, например, должнику следующее:
HTTP/1.1 307 Temporary Redirect
Location: http://redir.domain.tld/?code={^StatusCode}&url={^URL}&ref={^Referer}
Connection: close
При этом, на redir.domain.tld скрипт подхватывает данные, переданные ему от DPI и потом может отправить клиента на ту страницу, куда он шёл изначально. Что получается на практике: «У меня было стопятьсот вкладок, а я открыл браузер и они все заменились на вашу дурацкую страничку, пожалуйста, убейтесь».7. Защита
Использование DPI подразумевает регулярно обновление сигнатур. С одним из последних апдейтов прилетела сигнатура, которая маркировала всё AVG, как Malware, что выводило трафик в цепочку блокировки вредоносной ереси. Пользователи лишись апдейтов для антивируса и даже, что любопытно, не могли зайти на сайт avg. Но это единичный забавный инцидент с отдельно взятым вендором DPI решений.
Это из личного опыта использования DPI. Также DPI решение можно использовать для тарификации подписчиков и выполнения сценариев при превышении пороговых значений. Так, например, настроен триггер, который при превышении NTP трафиком по одному IP порогового значения запускает скрипт, который отсылает «куда следует» команду засунуть несчастного в blackhole community. Резкий, но эффективный способ противодействия NTP Amplification атаке, которая влёгкую может забить аплинк.
Мощность отдельных решений такова, что при большой базе сигнатур, можно запретить логиниться в World of Warcraft эльфам-друидам 70 уровня в рабочие дни после 8 часов вечера (хоть так на БГ без школьников поиграю), так что don't be evil и соблюдайте сетевой нейтралитет.
Вы забыли о еще 1 пункте
8. Бессмысленность
Использование DPI сейчас практически бессмысленно тк большая часть трафика идет зашифрованной и что там внутри HTTPS вы не узнаете, а с развитием WebTorrent торрент трафик пойдет через WebRTC что объединит его с веб трафиком и DPI не сможет его различать.
8. Бессмысленность
Использование DPI сейчас практически бессмысленно тк большая часть трафика идет зашифрованной и что там внутри HTTPS вы не узнаете, а с развитием WebTorrent торрент трафик пойдет через WebRTC что объединит его с веб трафиком и DPI не сможет его различать.
Ни в коей мере не рекламирую (велосипед вообще не мой), но DPI редко используют, чтобы залезать внутрь пакетов и смотреть, кто какую картинку смотрит на пикабу в данный момент. Доля торрент трафика стремительно падает, уступая место стриминговым сервисам. Растёт популярность SmartTV, да и народу просто лень качать — смотрят прямо на всяких seasonvar без смс и регистрации.
Специально проверил — WebRTC на данный момент одним решением разбирается и отделяется от категории Web Browsing. Я оперирую категориями, а не названиями протоколов, потому что под Web Browsing объединены подкатегории CDN, HTTP, Broken HTTP, HTTP download, HTTPS, SPDY, WAP, WebSockets и прочее-прочее-прочее. Для шейпинга и приоритезации вполне достаточно, чтобы железка определяла тип трафика и source/destination.
Специально проверил — WebRTC на данный момент одним решением разбирается и отделяется от категории Web Browsing. Я оперирую категориями, а не названиями протоколов, потому что под Web Browsing объединены подкатегории CDN, HTTP, Broken HTTP, HTTP download, HTTPS, SPDY, WAP, WebSockets и прочее-прочее-прочее. Для шейпинга и приоритезации вполне достаточно, чтобы железка определяла тип трафика и source/destination.
А по вашему webrtc это не браузинг? Например RDP-KVM у популярного хостинга работает на этой технологии и много чего ещё, т.е вы их тоже порежете.
В моей сети пока WebRTC даже близко не приближается к последней странице топа по объёму трафика. Все RDP/KVM вынесены в отдельную подкатегорию Remote Access, а сигнатуры — это не просто протокол/port/destination, так что может и сможет дифференцировать. Доступного WebRTC KVM у меня нет и провести эксперимент, как будет определяться трафик этих типов я пока не могу.
Из проблем со стороны DPI, с которыми сталкивался лично, это ошибки при обновлении сигнатур (в комменте выше я описал про коллизию с AVG) и аппаратные отказы. Возможно, потому что не приходится резать или иным образом негативно влиять на трафик по типам, чем зачастую страдают некоторые multiservice провайдеры в той же Великобритании. Я за сетевой нейтралитет в полном понимании этого термина. Благо пока до нас не добралась мода повально блокировать неугодные государству странички. Разделение по приоритетам, статистика, прогнозирование, тарификация, ну и защита от атак — для этих задач это вполне удобный инструмент.
К VASExperts: было бы интересно почитать подробное сравнение решений. Цены, условия поддержки, частота обновлений, размер базы сигнатур, стек технологий.
Из проблем со стороны DPI, с которыми сталкивался лично, это ошибки при обновлении сигнатур (в комменте выше я описал про коллизию с AVG) и аппаратные отказы. Возможно, потому что не приходится резать или иным образом негативно влиять на трафик по типам, чем зачастую страдают некоторые multiservice провайдеры в той же Великобритании. Я за сетевой нейтралитет в полном понимании этого термина. Благо пока до нас не добралась мода повально блокировать неугодные государству странички. Разделение по приоритетам, статистика, прогнозирование, тарификация, ну и защита от атак — для этих задач это вполне удобный инструмент.
К VASExperts: было бы интересно почитать подробное сравнение решений. Цены, условия поддержки, частота обновлений, размер базы сигнатур, стек технологий.
Забыли header enrichment и cookie-matching :)
//DPI способна собрать всю эту информацию (не нарушая личных прав абонента)
Новое слово в науке и технике. Теперь вся ваша информация принадлежит нам при этом не нарушен ни один закон и личные права абонента.
А как быть с https и прочим шифрованием?
Новое слово в науке и технике. Теперь вся ваша информация принадлежит нам при этом не нарушен ни один закон и личные права абонента.
А как быть с https и прочим шифрованием?
Ребят подскажите, а как обойти системы контроля DPI? мой провайдер использует эту технологию, Прогой проверил, и вышло что у моего провайдер так называемый «полный DPI» как настроить что бы мой впн сервак преодолевал этот DPI?
Sign up to leave a comment.
Введение в DPI: Сценарии использования системы