Реальность и мифы об инспектировании трафика

Мы продолжаем серию публикаций на тему глубокой инспекции пакетов. Среди ранее прозвучавших мнений — гипотеза об установлении глобального контроля над пользователями и версия о картельном сговоре вендоров. Мы беседуем с Алексеем Бессарабом и Владимиром Литовкой, менеджерами по развитию бизнеса (SP Business Development Manager) компании Cisco Systems — одного из крупнейших мировых производителей сетевой аппаратуры — на тему реальных технических возможностей DPI и практического применения этой технологии на рынке.

Кто являлся изначальным инициатором спроса на технологию глубокой инспекции пакетов (Deep Packet Inspection, DPI)?

Алексей Бессараб: Основными заказчиками технологии глубокой инспекции были операторы связи и корпоративные заказчики. Их интересовали разработки, которые не только маршрутизируют потоки, но также инспектируют передаваемые данные для определения характера использования ресурсов сети и интеллектуального управления потоками трафика в условиях ограниченных ресурсов. В качестве примера можно привести передачу чувствительного к задержкам видеотрафика в первую очередь и без потерь.

Также важной для провайдеров задачей, которую должна решать инспекция пакетов, является создание определенных сервисных политик для групп пользователей. Например, для одного пользователя разрешается неограниченный peer-to-peer, а для других применяются ограничения к различным типам трафика. Возможности оборудования на сегодняшний день позволяют следить как за отдельными сессиями, так и за всей передаваемой информацией в целом, а также анализировать запросы на веб-странице.

До какой степени глубины можно “просматривать” содержимое передаваемых данных?

Владимир Литовка: DPI используется для определения характера информации и для принятия решения о том, как и когда пропускать ее. Если провести аналогию между провайдером и железной дорогой, то DPI подобен сортировочному узлу, который оперирует не составами целиком, а отдельными вагонами на основании того, что хранится внутри каждого вагона. Условно говоря, если в вагонах (пакетах данных) едут брикеты с замороженной рыбой (видео) — ее нужно пропустить в первую очередь. А если там лежит уголь, то его можно придержать. Разумеется, проверять вагоны можно с разной тщательностью — можно верить накладным, можно заглядывать в каждый вагон, а можно проверять каждый брикет, чтобы убедиться, что там действительно замороженная рыба. Очевидно, что чем тщательнее проверка, тем меньше пропускная способность сортировочной станции. Если же при увеличении тщательности проверки хочется сохранить ту же скорость обслуживания, то необходимо набрать в десятки раз больше персонала.

Аналогично, производительность DPI-устройств максимальная при наиболее поверхностном уровне проверки (по “накладным”), и чем более глубокую проверку мы делаем, тем сильнее она падает. Можно посмотреть все вплоть до слов и знаков, но это потребует чрезвычайно больших ресурсов и времени, а главное — не увеличивает эффективность управления потоками. Возвращаясь к аналогии с железной дорогой — для принятия решения о первоочередном пропуске замороженной рыбы не требуется знать о структуре ее скелета.

Поэтому, в общем случае очень глубокая инспекция трафика технически бессмысленна и не имеет под собой экономического обоснования.

А. Б.: Вся информация, передающаяся в открытом виде, доступна для анализа. Теоретически возможно узнать все и не обязательно в онлайн. Можно и в офлайн-режиме компилировать из отдельных пакетов все коммуникационные сообщения и данные, которые передаются между сторонами. Кроме случаев, когда используются средства шифрования.

Возможно ли, к примеру, “прослушать” Skype-трафик с помощью технологии инспекции пакетов?

А. Б.: Сегодня готового технического решения на рынке нет. Придется задействовать колоссальные ресурсы и мощности, чтобы расшифровать Skype-трафик. Но будет ли стоимость такой расшифровки соответствовать ценности полученной информации?

На каком уровне устанавливаются устройства глубокой инспекции пакетов?

А. Б: Смотря для каких задач используется оборудование: для того чтобы понять что “живет” в сети или чтобы создать новую политику на основе приоритезации разных типов трафика. В конце концов, перед провайдером может стоять задача, связанная с перехватом определенного трафика в соответствии с действующим законодательством — то, что принято обозначать аббревиатурой СОРМ (система оперативно-розыскных мероприятий — прим. ред.). В зависимости от этого и подбирается необходимый продукт, который наделен функцией инспектирования трафика. От стандартного механизма для “поверхностного анализа” — NetFlow до отдельно стоящих специализированных устройств с функциями глубокой инспекции. Расположение этих устройств в сети тоже зависит от решаемой задачи.

Какой производительностью обладает оборудование DPI? В чем эта производительность измеряется?

В. Л.: На данный вопрос нет прямого ответа. Производительность во многом зависит от типа анализируемого протокола. При анализе примитивных видов трафика (веб, почта) инспектирующие устройства, объединенные в кластеры, справляются с нагрузкой от нескольких сотен гигабит до одного терабита в секунду. Чем более сложный трафик пропускается сетью, тем больше времени требуется на его анализ. Что, соответственно, приводит к уменьшению общей производительности устройства.

А. Б.: Если стоит задача инспектировать терабиты трафика, не обязательно это делать одним устройством. И, учитывая дизайн сети, можно создавать множество комплексов, которые будут обрабатывать трафик. Тогда в рамках всей сети можно будет инспектировать трафик со скоростью даже больше чем 1 Тбит/с. Но вновь возникает вопрос целесообразности и стоимости этого решения.

Насколько оборудование с возможностями DPI востребовано в Украине?

А. Б.: Спрос формируют в основном крупные и средние провайдеры. Им необходимы устройства, дающие срез о типах трафика, обслуживаемых сети, и о приложениях, “нагружающих” сеть.

Еще один тренд формируют крупные операторы связи. Они находятся в ситуации, когда объемы трафика продолжают расти при неизменном уровне тарифов. Они понимают, что в определенный момент инвестиции в сеть превысят доход, а оператор перестанет быть прибыльным, и уже сейчас ищут решение проблемы.

Таким решением могут стать дифференцированные тарифные планы, различного рода политики, например, функции родительского контроля за дополнительную плату. Множество таких политик можно реализовать только при помощи средств глубокого инспектирования. В настоящее время группа операторов тестирует пилотные проекты, направленные на применение таких политик в своей тестовой среде.

В. Л.: Также в экспериментах заинтересованы операторы, предоставляющие абонентам сервисы посредством беспроводных технологий передачи данных. Поскольку радиочастотный ресурс очень ограничен, приоритезация трафика в особенности актуальна для беспроводных операторов.

В какой степени украинские провайдеры оснащены аппаратурой с возможностями DPI? Прогнозируете ли вы рост спроса на эту аппаратуру?

А. Б.: Большие и некоторые средние операторы уже “вооружены”. Они используют глубокую инспекцию для уже упомянутых задач. Если говорить про сегмент небольших операторов, то для них это существенная инвестиция. Зачастую они даже не рассматривают использование продуктов подобного рода.

Согласны ли вы с мнением о том, что “проталкивание” темы DPI — результат картельного сговора вендоров?

А. Б.: Вендоров, которые специализируются на DPI-оборудовании, очень немного. Это в основном мелкие компании с глубокой специализацией и скромным оборотом. Тяжело поверить, что они могли бы сформировать влиятельное лобби.

Справедливо ли утверждать, что эпоха сетевого нейтралитета закончилась в силу того, что провайдеры подошли к границе рентабельности?

А. Б.: В странах Евросоюза политика сетевого нейтралитета действует на законодательном уровне. Она определяется правом пользователя получать доступ к информации и обмениваться ею в сети. Следовательно, операторы должны обеспечить это право и не могут вмешиваться в трафик. Но на Украину это правило не распространяется. У отечественных операторов нет юридических ограничений к использованию средств обработки различных типов трафика.

В. Л.: Крупные западные операторы всегда были склонны к нарушению концепции сетевого нейтралитета. Экономическая подоплека подталкивала их к дискриминации одних видов трафика по отношению к другим с целью оптимизации своих затрат. Мелкие операторы в этом не заинтересованы: объем их абонентской базы невелик, и добавочная стоимость DPI-решения существенно превышает допустимые для них инвестиции в развитие сети.

В целом, операторы склонны считать, что эпоха сетевого нейтралитета подошла к концу, но европейские регуляторные органы препятствуют дискриминации трафика в интересах потребителей. Дискуссия на эту тему продолжается, и она далека от завершения.

Но технология DPI в разрезе этой дискуссии — лишь один из множества операторских инструментов увеличения доходности. Операторы вынуждены искать средства повышения своей экономической эффективности в других областях и направлениях — например, в сотрудничестве с сервис- и контент-провайдерами. Очевидно, что модель предоставления “интернет-трубы” неизбежно изживет себя и, скорее, рано, чем поздно.