Анализ трафика сети

Введение

Анализ сетевого трафика на сегодня является достаточно обширной темой. Под «анализом сетевого трафика» следует понимать совокупное название технологий и их реализаций, которые позволяют осуществлять накопление, обработку, классификацию, контроль и модификацию сетевых пакетов в зависимости от их содержимого в реальном масштабе времени. Одним из достаточно сложных факторов, возникающих при изучении данного вопроса, считается наличие двойственности развития средств анализа сетевого трафика, а именно:

• с одной стороны, наличие постоянного развития алгоритмов и подходов к анализу,
• с другой стороны, присутствует непрерывное развитие программных и аппаратных средств для эффективного решения данной задачи.

Следует заметить, что это ведет как к путанице в терминологии, так и к умышленному манипулированию фактами и цифрами в маркетинговых целях.

Анализ трафика сети

Зарождение технологий анализа сетевого трафика относится к девяностым годам двадцатого века. Потребность в их появлении возникла примерно в одно время сразу в нескольких сферах. Возрастание сложности схемной организации сетей и многообразие сетевых устройств ведут к увеличению сложности их настройки и поддержки сети в исправном состоянии, то есть, необходимо иметь инструмент, который позволяет, с одной стороны, выполнить локализацию проблемы, а с другой стороны, отобразить как можно более подробную информацию о природе проблемы.

Это означает, что объектом, содержащим в себе всю требуемую информацию и является сетевой трафик. Одним из инструментов, который изначально предназначался для разрешения именно данной проблемы был сетевой анализатор, реализованный инженером Джеральдом Комбом в 1997-ом году.

В конце девяностых, начале двухтысячных годов, в связи с возрастанием сетевых потоков информационных данных, актуальной стала еще пара задач, которые требовали сетевого анализа:

1. Осуществление балансировки нагрузки между серверами.
2. Повышение скорости работы отдельных видов сетевых приложений.

Но самое полное развитие технология анализа сетевого трафика смогла получить, начиная со второй половины двухтысячных годов, что было обусловлено следующими факторами:

1. Постоянное возрастание объема пересылаемых данных.
2. Увеличение ширины каналов, которые обеспечивают возможность передачи этих объемов.
3. Рост разнообразия типов, передаваемых данных, в том числе тех, которые могут быть использованы для формирования разных профилей, как отдельного пользователя, так и разных групп.
4. Увеличение как разнообразия сетевых угроз и атак, так и их количественных характеристик.

Данные вызвали рост потребностей со стороны провайдеров интернета (internet service providers, ISP) и разных других организаций. Интересы данных групп являются различными, но, при этом, обладают и значительными пересечениями. К примеру, общей сферой интересов может считаться защита сетевых ресурсов, которая, между тем, также подразделяется на следующие направления:

1. Направление антивирусных решений (AV).
2. Направление развитых межсетевых экранов Next Generation Firewalls (NGFW).
3. Направление, связанное с системами обнаружения и предотвращения сетевых атак Intrusion detection/prevention systems IDS/IPS.
4. Направление, связанное с системами защиты от DDoS-атак.

При всем при этом, специфичной сферой интересов провайдеров сети Интернет считаются следующие аспекты:

1. Возможность обеспечения высокого качества связи в часы максимальной нагрузки при учете экономии на расширении арендуемых каналов связи.
2. Возможность получения конкурентных преимуществ за счет возможности предложения более выгодных индивидуальных тарифов при учете индивидуального профиля пользования сетевым каналом.
3. Возможность регулирования полосы пропускания для определенных типов трафика. Одной из главных проблем считается P2P трафик, который способен занимать значительную часть арендуемого провайдером канала, что может привести к тому, что для обеспечения необходимого качества сервиса провайдеру придется ускоренными темпами осуществлять расширение данного канала.

Главной сферой интересов организаций, которые предлагают свои товары и услуги с применением сети Интернет, могут считаться профили пользователей с точки зрения их интересов и предпочтений. Такие профили могут быть опосредованно выявлены, например, при помощи списка сайтов, посещаемых пользователем, совокупности его поисковых запросов, сетевых приложений, которые он применяет.

К другой группе можно отнести компании, которые предоставляют разные интернет сервисы, к примеру, при помощи технологии виртуализации сетевых функций (Network Function Virtualization, NFV). К подобным сервисам следует причислить:

1. Облачные сервисы.
2. Сервисы защиты.
3. Сервисы хранения и другие.

Для таких организаций специфичным может считаться вопрос управления значительными объемами входящего трафика, для чего может потребоваться балансировка и интеллектуальное управление.

Согласно представленным выше историческим развитием потребностей в сфере сетевых сервисов осуществлялось развитие технологий анализа сетевого трафика, которые положены в основу аппаратных, программных и гибридных решений.

Говоря о направлениях развития технологий анализа сетевого трафика, следует определить следующие основные направления развития:

1. Увеличение «глубины» анализа для отдельных сетевых пакетов, то есть увеличение уровня модели OSI, данные которой должны подвергаться анализу.
2. Реализация полноты учета состояния потока, к которому относится пакет, а также других потоков, которые связаны с этим.

В направлении глубины анализа сетевых пакетов технологии анализа трафика развивались последовательно, причем все последующие наследовали часть предыдущих механизмов и добавляли свои.