Классификация трафика - Traffic classification
Эта статья ведущий раздел может быть слишком коротким и неадекватно подвести итог ключевые моменты его содержания. Пожалуйста, подумайте о расширении интереса до предоставить доступный обзор обо всех важных аспектах статьи. (Май 2020 г.) |
Классификация трафика это автоматизированный процесс, который классифицирует компьютерная сеть трафик по разным параметрам (например, на основе номер порта или же протокол ) в ряд классы трафика.[1] Каждый результирующий класс трафика может обрабатываться по-разному, чтобы различать сервис, подразумеваемый для генератора или потребителя данных.
Типичное использование
Пакеты классифицируются, чтобы по-разному обрабатывать сетевой планировщик. После классификации потока трафика с использованием определенного протокола к нему и другим потокам может применяться заранее определенная политика, чтобы гарантировать определенное качество (как в случае с VoIP или служба потоковой передачи мультимедиа[2]) или обеспечить доставку с максимальной эффективностью. Это может быть применено в точка входа (точка, в которой трафик входит в сеть) с детализацией, которая позволяет механизмам управления трафиком разделять трафик на отдельные потоки и очереди, контролировать и формировать их по-разному.[3]
Методы классификации
Классификация достигается различными способами.
Номера портов
- Быстрый
- Низкое потребление ресурсов
- Поддерживается многими сетевыми устройствами
- Не реализует полезную нагрузку уровня приложения, поэтому не ставит под угрозу конфиденциальность пользователей.
- Полезно только для приложений и служб, использующих фиксированные номера портов.
- Легко обмануть, изменив номер порта в системе
Глубокая проверка пакетов
- Проверяет фактическую полезную нагрузку пакета
- Обнаруживает приложения и сервисы независимо от номера порта, на котором они работают
- Медленный
- Требуется много вычислительной мощности
- Подписи необходимо поддерживать в актуальном состоянии, так как заявки меняются очень часто.
- Шифрование делает этот метод невозможным во многих случаях.
Сопоставление битовых комбинаций данных с битовыми комбинациями известных протоколов - простой широко используемый метод. Пример для соответствия BitTorrent протокол подтверждение связи Этап будет заключаться в проверке того, начинается ли пакет с символа 19, за которым следует 19-байтовая строка «Протокол BitTorrent».[4]
Подробное сравнение различных классификаторов сетевого трафика, которые зависят от Deep Packet Inspection (PACE, OpenDPI, 4 различных конфигурации L7-filter, NDPI, Libprotoident и Cisco NBAR), показано в Независимом сравнении популярных инструментов DPI для классификации трафика. .[5]
Статистическая классификация
- Основывается на статистическом анализе таких атрибутов, как частота байтов, размеры пакетов и время между прибытиями пакетов.[6]
- Очень часто используются алгоритмы машинного обучения, такие как К-средние, наивный байесовский фильтр, C4.5, C5.0, J48 или случайный лес.
- Быстрая техника (по сравнению с глубокая проверка пакетов классификация)
- Может определять класс еще неизвестных приложений
Выполнение
Оба, Сетевой планировщик Linux и Netfilter содержат логику для идентификации и маркировки или классификации сетевых пакетов.
Типовые классы трафика
Операторы часто выделяют три основных типа сетевого трафика: чувствительный, оптимизированный и нежелательный.[нужна цитата ]
Чувствительный трафик
Чувствительный трафик - это трафик, который оператор ожидает доставить вовремя. Это включает в себя VoIP, онлайн игра, видео-конференция, и просмотр веб-страниц. Схемы управления трафиком обычно разрабатываются таким образом, чтобы качество обслуживания из этих выбранных видов использования гарантируется или, по крайней мере, имеет приоритет над другими классами трафика. Этого можно добиться за счет отсутствия формирование для этого класса трафика или путем установления приоритета для конфиденциального трафика над другими классами.
Лучшее движение
Трафик с максимальным усилием - это все другие виды трафика без ущерба. Это трафик, который, по мнению интернет-провайдера, не зависит от показателей качества обслуживания (джиттер, потеря пакетов, задержка). Типичный пример: пиринговый и электронное письмо Приложения.[7] Схемы управления трафиком обычно настраиваются таким образом, чтобы трафик с максимальными усилиями получил то, что осталось после конфиденциального трафика.
Нежелательный трафик
Эта категория обычно ограничивается доставкой спам и трафик создан черви, ботнеты, и другие злонамеренные атаки. В некоторых сетях это определение может включать такой трафик, как нелокальный VoIP (например, Skype ) или услуги потокового видео для защиты рынка «внутренних» услуг того же типа. В этих случаях механизмы классификации трафика идентифицируют этот трафик, позволяя оператору сети либо полностью заблокировать этот трафик, либо серьезно затруднить его работу.
Обмен файлами
Пиринговый обмен файлами приложения часто предназначены для использования любой доступной полосы пропускания, которая влияет на QoS -чувствительные приложения (например, онлайн-игры ), которые используют сравнительно небольшую полосу пропускания. Программы P2P также могут страдать от неэффективности стратегии загрузки, а именно загрузки файлов с любого доступного узла, независимо от стоимости ссылки. Приложения используют ICMP и регулярный HTTP трафик для обнаружения серверов и каталогов загрузки доступных файлов.
В 2002, Sandvine Incorporated На основе анализа трафика было определено, что P2P-трафик составляет до 60% трафика в большинстве сетей.[8] Это показывает, в отличие от предыдущих исследований и прогнозов, что P2P стал мейнстримом.
Протоколы P2P могут и часто спроектированы так, чтобы итоговые пакеты было труднее идентифицировать (чтобы избежать обнаружения классификаторами трафика), и с достаточной надежностью, чтобы они не зависели от конкретных QoS свойства в сети (упорядоченная доставка пакетов, джиттер и т. д. - обычно это достигается за счет увеличения буферизации и надежной передачи, в результате чего у пользователя увеличивается время загрузки). В зашифрованный BitTorrent протокол, например, полагается на обфускацию и рандомизированные размеры пакетов, чтобы избежать идентификации.[9] Трафик обмена файлами можно классифицировать как трафик Best-Effort. В часы пик, когда чувствительный трафик находится на пике, скорость загрузки снижается. Однако, поскольку загрузки P2P часто являются фоновыми действиями, они мало влияют на опыт подписчиков, пока скорость загрузки возрастает до своего полного потенциала, когда все остальные абоненты вешают свои телефоны VoIP. Исключение составляют сервисы P2P VoIP и потокового видео в реальном времени, которым требуются постоянные QoS и использовать чрезмерное[нужна цитата ] накладные расходы и трафик четности, чтобы обеспечить это, насколько это возможно.
Некоторые приложения P2P[10] может быть настроен как самоограничивающиеся источники, выступающий в качестве формирователя трафика, настроенного в соответствии со спецификацией трафика пользователя (в отличие от оператора сети).
Некоторые поставщики отстаивают управление клиентами, а не конкретными протоколами, особенно для интернет-провайдеров. Управляя для каждого клиента (то есть для каждого клиента), если клиент решает использовать свою справедливую долю полосы пропускания, выполняющей приложения P2P, он может это сделать, но если их приложение является оскорбительным, они только забивают свою собственную пропускную способность и не могут повлиять на пропускная способность, используемая другими клиентами.
Рекомендации
- ^ IETF RFC 2475 Раздел 2.3.1 «Архитектура дифференцированных услуг» - IETF определение классификатора.
- ^ SIN 450 Выпуск 1.2 Май 2007 г. Информационная записка поставщиков для сети BT BT Wholesale - Расширенные услуги BT IPstream - Контроль скорости конечного пользователя и качество обслуживания в нисходящем направлении - Описание услуги
- ^ Фергюсон П., Хьюстон Дж., Качество обслуживания: предоставление QoS в Интернете и в корпоративных сетях, John Wiley & Sons, Inc., 1998. ISBN 0-471-24358-2.
- ^ BitTorrent протокол
- ^ Томаш Буйлов; Валентин Карела-Эспаньол; Pere Barlet-Ros. «Независимое сравнение популярных инструментов DPI для классификации трафика». В печати (Компьютерные сети). Получено 2014-11-10.
- ^ Э. Хьельмвик и У. Джон, «Идентификация статистического протокола с помощью SPID: предварительные результаты», in Proceedings of SNCNW, 2009
- ^ В проблема со спамом фактически побудил некоторых сетевых операторов внедрить формирование трафика на SMTP трафик. Видеть Tarpit (сеть)
- ^ Лейдон, Джон. «P2P наводняет широкополосные сети». Статья "Регистрация", которая относится к отчету Sandvine - для доступа к актуальному отчету требуется регистрация в Sandvine.
- ^ Определение протокола шифрования потока сообщений (MSE)
- ^ «Оптимизация скорости uTorrent, веб-журнал Jatex». Пример ограничения P2P-трафика на стороне клиента