Анализ трафика: кому выгодно глубоко копать?


Благодаря последним законодательным инициативам, тема анализа трафика стала чуть ли не самой популярной в российской телеком-сфере и в первую очередь затронула, конечно же, провайдеров. Теперь на них лежит весь груз ответственности за то, какой контент просматривают пользователи.

При нынешних объемах трафика, тем более у операторов федерального масштаба, кажется, что контролировать потоки информации на том уровне, который требуется законом, практически невозможно. Но это не так.

Сегодня специалисты по безопасности используют несколько методов анализа трафика:

  • HTTP-прокси. Простой, на первый взгляд, но весьма затратный по времени и ресурсам способ. Он заключается в консолидированном прогоне трафика через серверы с настроенными по необходимым запросам фильтрами. В этом случае анализу подвергается и входящий, и исходящий трафик, что существенно сказывается на скорости передачи.
  • Анализ только исходящего трафика. Пожалуй, самый простой способ из приведенных. Он основан на сравнении запросов, посылаемых пользователем, с адресами, содержащимися в базе Роскомнадзора. Но опять же неудобен тем, что увеличивает время отклика сайтов.
  • Глубокий анализ трафика (DPI). Оптимальный вариант при больших объемах информации. Оборудование обычно размещается так, что весь входящий и исходящий трафик проходит через DPI, что даёт возможность его мониторинга и контроля. Кроме того, система предполагает более глубокий анализ, чем вышеперечисленные способы, и позволяет определить принадлежность к определённому приложению (например, по формату заголовков) или совершить поведенческий анализ. С помощью DPI можно провести, пожалуй, самый качественный анализ трафика, не перегружая оператора и не доставляя неудобств пользователям.

Вопреки расхожему мнению, такие системы анализа начали внедрять задолго до того, как это стало обязательным требованием. Еще в самом начале 1990-х подобные анализаторы использовались хакерами для перехвата паролей и другой конфиденциальной информации, распространяемой по Сети. Позже эти разработки начали применять уже в совершенно противоположных целях — системы анализа встали на защиту пользователей и использовались в качестве фаерволов. Кроме того, подобные анализаторы трафика можно использовать и в других целях, например, чтобы:

  • Собирать статистику по пользователям и их поведенческим факторам.
  • Фильтровать трафик по определённым критериям, например, блокировать спам или веб-приложения.
  • Противостоять вирусным и DDoS атакам.

В 2003 году наши западные коллеги прозвали DPI вершиной эволюции фаерволов и именно в таком качестве систему начали внедрять в крупные корпорации. Российские провайдеры же заинтересовались DPI только в 2009 году, когда резко вырос объем трафика с торрентов и пиринговых сетей. Дело в том, что с помощью системы можно не только отслеживать потоки, но и приглушать их. Когда объем трафика значительно возрастает, провайдер спокойно может отфильтровать по маркерам запросы к торрентам или P2P сетям и снизить тем самым нагрузки на каналы.

При этом пиринговые сети не представляют такой уж сильной угрозы для локального провайдера: в конце концов, их можно просто “выключить” и отказаться от такой опции в принципе, пожертвовав, впрочем, некоторыми вполне лояльными пользователями. С торрент-клиентами ситуация несколько иная: практически каждый региональный или локальный провайдер сталкивался с тем, что “сетка падает” в вечерние часы и выходные, когда абоненты жаждут знакомства с новинками аудио– и видеорынка. С помощью глубокого проникновения в пакеты проблема решается достаточно легко и позволяет провайдеру сэкономить как минимум рабочее время своих сотрудников, а зачастую и избежать вполне ощутимых убытков.

Максим Папин, Директор универсального технического блока «Энвижн Груп»

DPI – это не только защита контента от несанкционированного использования, но и источник дополнительного дохода. Абоненты операторов связи и интернет-провайдеров все чаще пользуются бесплатными сервисами типа Skype, Hangouts (ex-Gtalk) и Sipnet, вместо традиционной телефонии, а Youtube, Netflix или IVI вместо классических платных подписок на кабельное ТВ. Набирает популярность и бесплатное Smart TV. При этом цены на услуги доступа в Интернет постоянно снижаются.

В таких рыночных условиях внедрение DPI может стать источником дополнительного дохода за счет предоставления VAS (value-added services). Ведь применение системы позволяет персонализировать премиум-услуги, ранжированные по качеству и стоимости. DPI управляет сетевым трафиком на уровне приложений, благодаря этому можно внедрить родительский контроль или предложить абонентам услугу «видео по запросу» и таргетировать встраиваемую в «поток» интернет-рекламу, на основании собранной и проанализированной информации о пользовательских предпочтениях. Компания, внедрившая технологию DPI, имеет больше возможностей для построения гибких отношений со своими клиентами, при этом соблюдает требования законодательства.

Таким образом, DPI, когда-то ассоциировавшийся в уме технарей исключительно с гигантами отрасли, позволяет небольшим бизнесам решить целый ряд вызовов:

  • Перегруженность сетей в результате использования BitTorrent абонентами;
  • Защищенность сети от спама и атак;
  • Сбор статистики использования сети сотрудниками;
  • Родительский контроль, который так активно требуют внедрять общественные организации и профильные ведомства;

В итоге сочетание всех вышеперечисленных факторов даёт провайдерам и предприятиям мощный инструмент, позволяющий значительно повысить защищенность сети и удобство её использования как для пользователей, так и для IT-службы. Как следствие, уже сегодня можно говорить о том, что внедрение и применение DPI идет полным ходом. В “большой четверке” первым на “пакетный” анализ трафика перешел Мегафон (2009), а замыкает цепочку “Ростелеком” (2013).

Готовность нести затраты по внедрению объясняется просто: это значительное конкурентное преимущество в свете роста интереса к IP, усиления влияния рынка контента и соседствования «традиционных» операторов/провайдеров с новыми участниками рынка — OTT-компаниями. Компания, использующая DPI, получает возможность не только соблюсти законодательные требования максимально эффективно, но и построить более гибкие отношения со своими клиентами, реагируя на нюансы их сетевого поведения.



На заметку

Основные моменты, которые необходимо учесть при переходе на ЭДО

Дело техники

10 советов для развития мультиканального ритейла