Релиз открытой системы для глубокого инспектирования сетевых пакетов nDPI 5.0

[Lord_of_Rings]

@Lord_of_Rings тоже 😄 NoDPI борется с nDPI

[MAXH0]

А как это можно использовать в позитивном ключе, кроме анализа методов? И если ни как, то зачем это добровольно поддерживать?

[Viktor-T]

Когда-то я работал в небольшом провинциальном провайдере и мы использовали для приоритезации трафика - голос побыстрее, торрент помедленнее и т.д. Правда, мы использовали Cisco ACE. Но есть провайдеры, которые предпочитают программные решения.

[BlackMokona]

Сетевой нейтралитет вышел из чата

[daggert]

Сетевой нейтралитет идет к черту, когда у меня на работе есть люди качающие торрентами фильмы или крупную обнову для софта, во время того как мне нужен канал для международной конференции на 500 человек. Без ДПИ у меня сейчас настройка идет тупо по кнопке «желтая тревога» и всем, кроме трех адресов, дается по 2 мегабита.

[MAXH0]

Мне одному показалось, что такие вещи не должны решаться анализом трафика в принципе. Т.е могут, но не должны. Так же как политические проблемы не должны решаться техническими средствами, также и организационные.

[daggert]

Можете предложить решение?

[Termich]

Решение, на хер такого работодателя послать)

[daggert]

Тогда уж работника, который использует ресурсы компании для личных нужд, во вред работодателя.

[Termich]

Работодатели в последнее время ох..ие пошли, за счёт работников жируют и ещё как крепостных держат. Храни так сказать бох проп трейдинг, что бы таких РАБотодателей на одном месте вертеть. Работники выкрутятся, а вот такие РАБотодатели быстрее бы про миру пошли. Пупы земли нашлись)

[daggert]

Простите, но вы несете ахинею. Есть работодатели-рабовладельцы и вы вольны уйти куда хотите. Благо у нас капитализм и свободный рынок.

Есть работники ох*шие. К ним можно предпринимать административные меры, которые вызовут недовольство, а можно мягкие невидимые - например ужимать торрент-траффик на рабочем месте, добавлением пинга или занижать скорость интернета, чтоб работник выполнял рабочие задачи, вместо просмотра аниме или игры в ВОВ.

[BlackMokona]

Тут внезапно помогает давать нормальные тарифы, ограничения скорости. А не рекламные по терабиту каждому на гигабитный внешний канал

Либо же анлим по трафику отключать

[daggert]

Это никак не связано с этим. Совсем. Мы покупаем честные мегабиты на организацию, но на время конференций с трансляциями на пару платформ и р2р - упираемся в потолок, и тут уже начинается поиск тех кто решил скачать фильмец на вечер или обновляет библиотеку литреса на 100+ гигов.

[BlackMokona]

Ну таки предоставленные полосы пропускания много больше чем выходная способность сети.

[Shaman_RSHU]

QoS не помогает?

[forajump]

В своей сети, например корпоративной, ты можешь хоть в лепешку расшибиться, настраивая приоритеты трафика, но, попадая в сеть оператора связи, весь трафик перемаркируется заново по принципам оператора, так как в своем домене CoS оператор не доверяет чужим меткам. При этом оператор может легко приоритизировать трафик на основе VLAN (как правило, равно услуге), то есть, к примеру, повысить приоритет телефонии как услуги (трафика VoIP) и видеонаблюдения (трафика IP-камер и т. п.) по сравнению с интернетами. И тут, представь, абонент получает у оператора услугу доступа в интернет, и гонит через интернет веб-трафик, какую-то свою IP-телефонию, потоковое медиа разных видов, начиная от ютубов и стримингов, заканчивая ВКС — все это оператор толкает в одну трубу совершенно на одинаковых условиях, для оператора это просто интернет-трафик. Можно, конечно, дополнительно заморочиться с DPI, как тут уже написал один небольшой провинциальный оператор, но крупный оператор такого точно делать не будет, тем более к уже неизбежно добавленной государством системе DPI добавлять еще одну. DPI неизбежно вносит задержку обработки, и является серьезной точкой отказа, что уже неоднократно Роскомнадзор нам демонстрировал, когда криворукий админ ошибался с какими-то фильтрами/правилами, ГРЧЦ, приходилось экстренно временно чинить устаревшие серверы Гугля так, что Ютуб начинал нормально показывать, пока за несколько часов серверы Гугля не утаревали вновь.

[daggert]

Частично помогает, но т.к. торренты или онлайн-игры (у нас нет на это запрета на рабочем месте, если это не вредит работе) прорываются - я думаю над ДПИ уже второй год.

[kuzzmenka]

А я заметил другую проблему, вполне себе честную. Новым сотрудникам почему-то выдаётся ноутбук с чистой Windows, в которой люди логинятся в свой MS аккаунт, рано или поздно им вылазит окно OneDrive, в котором они жмут далее-далее-далее, и после этого... У них синхронизация рабочего стола и документов с OneDrive, которая им то и не нужна! Соответственно практически все рабочие файлы, а зачастую они более 10 Гб гоняются вперёд-назад на индивидуальное терабайтное облако! Я когда увидел, ужаснулся, но это не моя зона ответственности)

[kenomimi]

Сетевой нейтралитет не про это совсем.

Я вот когда-то работал у местечкового провайдера - мы не заморачивались и давали гигабит. Но если у вас поселился качок, который терабайтами закачивает и раздает - он монопольно выжрет всё, что дали. Один такой еще не страшно, но если их сотня? Потому торренты приоритетом задвигались в самый низ - пока нагрузки на сеть нет, у него качает/раздает на гиг - пошла другая нагрузка - скорость ему подрезали. В итоге все довольны, а кто нет - получал лекцию об отличии выделенного канала за 150к в месяц за гиг от гиг шареда за 400 рублей.

[MainEditor0]

Мне сам факт того, что посредник хотя бы частично знает сореджимое передаваемого не очень приятен, если честно, а вот регулирование и приоритезация по уровню нагрузки вполне приемлемо, пока это не зависит от содержимого... Такое вот впечатление появилось

[MainEditor0]

Как будто сетевой нейтралитет в принципе, к сожалению, держится на добром слове и порядочности посредника...

[mihmig]

Разработчики в диктаторских странах могут локально тестировать свои средства обхода средств цензурирования.

[vmx]

Теоретически это можно использовать как инструмент для обнаружения вредоносного и паразитного трафика.

Определять и отсекать ботов, сканеров и прочую малварь.

Но практически ботов часто пишут не дураки, они маскируются под обычный пользовательский трафик и все эти TLS fingerprints/JA4 и т.п. работают так себе.

И для nDPI нужны полные пакеты, то есть нужно снимать трафик с зеркала или стоять в разрыве. Такое могут себе позволить только не очень большие сети.

В более-менее крупных сетях максимум что можно анализировать постоянно - это семплированные кусочки пакетов из sFlow, а на таком эти *DPI не работают.

[Viktor-T]

А как борются с ботами и прочим в Cloudflare, DDOS-Guard, BI.ZONE AntiDDoS и т.д.?

[olku]

CF это прежде всего очень хороший реверс прокси L7, который анализирует не только запрос, но и ответ умеет подменять

[vmx]

Все вроде по-разному. Из того что я читал в открытом доступе или общался с инженерами - у них обычно есть разные продукты (или линейки продуктов) для разного.

Одни продукты анализируют netflow/ipfix/sFlow. Когда видят что-то подозрительное - то или срезают на роутерах (с помощью BGP blackhole/flowspec) или перенаправляют трафик на другие железки для "очистки". Таким способом срезают крупных ботов, которые наливают хорошо трафика и которых видно в семплированном xFlow.

Для "тонкой" очистки - да, как написали вверху, ставят nginx (или реже что-то другое) перед защищаемыми хостами в режиме реверс прокси и на нем уже пытаются бороться.

Есть опенсорные WAF, например https://github.com/bunkerity/bunkerweb - у него как раз nginx под капотом. Если интересно, можно посмотреть как там сделано