L7-filter 프로젝트는 15년 된 것으로 보이며 커널 패치가 필요하고 2.6 이상의 커널을 지원하지 않으며 대부분의 패턴 파일이 2003년에 작성된 것으로 보입니다.
일반적으로 프로젝트가 오래되고 인기가 높으면 새 프로젝트가 이를 대체하지만 레이어 7 필터링을 수행하는 최신 Linux는 찾을 수 없습니다.
내가 올바른 곳을 찾고 있지 않은 걸까? 어떤 이유에서인지 레이어 7 필터링 아이디어가 완전히 포기됐나요? 요즘에는 하드웨어가 더욱 강력해지기 때문에 이전보다 더 실용적일 것이라고 생각합니다.
답변1
(이전) 프로젝트에 대해 이야기하고 계시군요.Linux 애플리케이션 계층 패킷 분류자2.4 및 2.6 커널용 패치로 구현되었습니다.
이 프로젝트의 주요 문제점은 제어를 위해 제안하는 기술이 구현의 실용성과 효율성을 빠르게 초과한다는 것입니다.
내가 기억하는 한, 프로젝트 구성원은 기술 이상의 발전에 더 투자할 시간(및 돈)이 없었고 구현 권한을 판매하여 이미 문제가 있는 프로젝트를 영구적으로 종료했습니다.
이 프로젝트/기술이 수년에 걸쳐 직면한 과제(특정 순서 없음):
- 3.x/4.x 커널 버전에 패치를 적용합니다.
- 처리 능력 부족 - 일부 국가에서는 오늘날 국내 기가비트 광대역 속도에도 효율적인 레이어 7 트래픽 형성을 위해 ASIC이 필요합니다.
- BitTorrent는 심각한 난독화를 사용하기 시작합니다.
- 여러 프로토콜을 캡슐화하거나 탐지를 피하기 위해 HTTPS가 많이 사용되기 시작했습니다.
- 피어링 프로토콜이 고정 포트 사용을 중지하고 통과를 시도하기 시작합니다.어느열린/허용된 포트;
- 유비쿼터스 VoIP 및 실시간 비디오의 증가로 인해 트래픽은 작은 시간 지연에도 매우 민감해졌습니다.
- VPN 연결의 광범위한 사용.
그 후, 전문적인 트래픽 형성 제품에 대한 많은 연구 개발이 투자되었습니다.
10년 전의 최첨단 기술에는 암호화/난독화된 트래픽을 탐지하기 위해 이미 특정 ASIC 및 휴리스틱(많은 사용)이 포함되었습니다.
이제 고급 경험적 방법에 대한 10년 이상의 경험 외에도 글로벌 광대역이 발전함에 따라 트래픽 형성(및 방화벽) 공급업체는 글로벌 데이터의 P2P 공유를 실시간으로 사용하여 솔루션의 효율성을 높이고 있습니다.
고급 경험적 방법을 전 세계 수천 곳의 실시간 분석/공유 데이터와 결합합니다.
Allot NetEnforcer만큼 효율적으로 작동하는 오픈 소스 제품을 구성하는 것은 매우 어렵습니다.
오픈 소스 솔루션을 사용하면 인프라 대역폭 상태 목적을 위해 IP 주소에서 사용하는 트래픽 유형/특성을 기반으로 트래픽을 형성하는 것이 더 이상 일반적이지 않습니다.네트워크 수준에서.
오늘날 일반적인 트래픽 제어와 인프라의 대역폭 용량 보호를 위해 방화벽 외에 일반적인 전략은 고급 트래픽 조정 하드웨어를 사용하지 않고 대역폭의 작은 부분을 각 IP 주소에 할당하는 것입니다.
답변2
넷티파이드는오픈 소스 심층 패킷 검사l7 필터 교체. l7-filter 프로젝트의 마지막 관리자가 개발했으며 Linux 및 BSD에서 사용할 수 있습니다. 커널 해킹이 필요하지 않습니다.
암호화 프로토콜 및 최신 BitTorrent와 같은 것을 탐지하는 것은 까다롭지만 확실히 해결할 수 있습니다. 심층 패킷 검사는 단순한 프로토콜 검사(l7-filter 프로젝트의 초점) 이상입니다. 예를 들어 Netify DPI는 SSL 세션에서 약한 암호를 감지할 수 있습니다. 이는 종종 오래된 펌웨어를 실행하는 장치의 징후입니다.
Rui F가 언급했듯이 지속적인 멀티 기가비트 속도에는 ASIC 또는 특수 하드웨어가 필요합니다. 그러나 네트워크 가장자리에서는 1GB 속도에서도 DPI를 일반 컴퓨터 하드웨어에 배포할 수 있습니다. 실행하려면 약간의 마력이 필요합니다. 이는 효과적인 침입 탐지/방지 엔진과 거의 같습니다. 일반적으로 네트워크 세션의 처음 10개 패킷만 처리되므로 작은 공간에서 작동할 수 있습니다.