560 likes | 832 Views
Deep Packet Inspection and Net Neutrality (Packet, DPI, SPI, TCP/IP, OSI 7). 2012 년 9 월 27 일 목요일 경실련 강당 발표 : 강장묵. 목차 DPI 에 대해 함께 묻고 생각해봅시다 . 네트워크의 물리적 망 , 논리적 구조 등을 배워봅시다 . DPI 작동원리를 학습해봅시다 . 생각의 여백을 갖겠습니다. 발제 강장묵 mooknc@gmail.com.
E N D
Deep PacketInspection and Net Neutrality (Packet, DPI, SPI, TCP/IP, OSI 7) 2012년 9월 27일 목요일 경실련 강당 발표: 강장묵
목차 DPI에 대해 함께 묻고 생각해봅시다. 네트워크의 물리적 망, 논리적 구조 등을 배워봅시다. DPI작동원리를 학습해봅시다. 생각의 여백을 갖겠습니다. 발제 강장묵 mooknc@gmail.com 망 중립이란 사용자간 연결(end to end) 커뮤니케이션에서 어떤 망을 이용하든 서비스에 차별이 없어야 한다 출처: http://www.flickr.com/photos/pixas/331724893/
1 장. DPI에 대해 묻고 답해봅니다. 출처: http://mimocom.knu.ac.kr/xe/images/2.jpg
시작하며, 다음을 묻습니다. DPI를 사용한다면, Packet의 Payload를 보는 걸까요? (얼마 전, KT 등 망사업자는 DPI장비를 구매하고 이를 활용할 계획이 있다고 보도됨)
DPI를 사용한다면, QoS가 보장되는 것인가요? 어느 정도나 보장되는 것일까요? 네트워크 망 즉 패킷망이회선망처럼QoS의 보장을 전제로 설계되었는지요? QoS를 망사업자가 하면, 어플리케이션 등에서 기존에 해오던 QoS는 어떻게 되는 것인지요? http://cfile28.uf.tistory.com/image/1177E2034BCFAC496473CA (검색어:2012.08)
언제 DPI를 사용하는 것이 바람직할까요? • 현황: 최근 모바일 기기의 보급으로 인터넷 트래픽이 급증하고 있으며, 또한 사용자들의 P2P 사용으로 인터넷 트래픽은 기하급수적으로 증가하고 있다. 또한 앞으로도 계속적으로 모바일트래픽이늘어날 전망이다. • 따라서 이러한 증가하는 트래픽으로 인하여 망의 부하가 가속될 예정이며, 또한 모바일 기기의 급증으로 유해 트래픽으로인한 피해도 예상되고 있음.- 이러한 문제를 해결하기 위하여 망에서 지나가는 트래픽을 분석하여 너무나 과대한 트래픽을 보내는 사용자의 트래픽이나 단말에 피해를 주는 유해 트래픽을 찾아서 제어함으로 망의 부하와 보안 문제를 해결할 수 있음.- 망 중립성 이슈로 인하여 P2P 트래픽 혹은 유해 트래픽 등과 같이 망에 많은 부담을 주는 트래픽을 감소시켜 망의 부담을 감소하는 방법으로 DPI 기능을 사용 • 평소에는 DPI 기능을 설정하지 않고 일반 라우터 기능을 수행하다가 • DDOS, 바이러스등 위해 할 경우에만 DPI기능을 쓰면 어떨까? Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2010∼2015 http://www.itec.re.kr/itec/sub02/sub02_01_1.do?t_id=5466# (검색일:2012.08.)
DPI 방식의 다양함 Shallow (Standard) Packet Inspection에서 부터 DPI 응용 인지 기술까지 DPI 응용 인지 기술이란? 라우터 시스템에서 DPI기반으로 라우터로 수신되는 트래픽의시그너쳐를 조사하여 수신된 트래픽이 어떤 응용 인가를 파악하고 인지된 응용에 맞는 트래픽 제어를 수행하는 기술 Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt http://www.itec.re.kr/itec/sub02/sub02_01_1.do?t_id=5466# (검색일:2012.08.)
Deep Packet Inspection Signature over several packets found information regarding connection state Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt
mVoIP, 찬반 사례 나성현 외(2011), 모바일 인터넷전화가 이동통신시장의 진화에 미치는 영향, 정보통신정책연구원, p. 71, 표 3-12
양비론의 지양 기존 통신 규제가 물리망 계층의 규모 경제(economies of scale)에 중점을 두고 있는 점을 고려하여, 인터넷 중심의 스마트 생태계가 기반 하는 인터넷 환경과 그 플랫폼 운영의 범위경제(economies of scope)를 극대화하는 정책개념으로서 새로운 수평규제의 체계를 도입할 필요가 있음 이런 의견들도 있을 수 있겠지만, 본질적으로 양립할 수 없는 권리(프라이버시 등)은 어떻게 해결하는 것이 좋을까? 강홍렬 외(2011), 스마트TV와 미디어 패러다임 변화, 정보통신정책연구원, p. 77.
해결방안은 많되, 가장 효과적인가? Domain Name System의 보안 이슈 별 해결 방안 한국인터넷 진흥원(2012) DNS 대피소 모델 연구, p. 27, 표 2-3
인터넷 트래픽관리, 반드시 해야할 관리와 관리 효율보다 Side Effect가 크다면? 네트워크 운영자, 인터넷 서비스 제공자가 네트워크 혼잡시 전체 트래픽을 효율적으로 관리하거나 적정 서비스 품질을 보장하기 위해 트래픽을 제한, 특정 트래픽에 대해 우선권을 부여하는 등의 활동 일반적인 인터넷 데이터 처리 방식인 ‘first in first out’, ‘Best effort’ 방식이 아닌 데이터 패킷의 출발지, 목적지, 애플리케이션 타입, 이용단말 등에 따라 전송 품질을 차등하는 관리 기법 망중립성이 훼손되면, 프라이버시는? 데이터 보안은? 김정희(2011), 인터넷 트래픽 관리, 인터넷&시큐리티 이슈, 한국인터넷진흥원, p. 31.
1-7 중 어느 수준의 관리가 적정한가? 김정희(2011), 인터넷 트래픽 관리, 인터넷&시큐리티 이슈, 한국인터넷진흥원, p. 31.
OSI 7 Layer와 각 레이어 별 프로토콜 http://cfile28.uf.tistory.com/image/1177E2034BCFAC496473CA (검색어:2012.08)
Ethernet 우리나라의 네트워킹 방식의 90% 이상이 이너넷 방식(다른 방식; 토큰링, FDDI, ATM방식) 이너넷캐이블 • 어떤 네트워크 장비를 사용하느냐에 따라 랜카드부터 모든 네트워크 장비를 다르게 구입 • 이너넷의CSMACD(carrierSense Multiple Access/Collision Detection)라는 통신 방식사용 • 이 방식은 ‘대충 알아서 눈치로 통신하자’ 임 • Carrier Sense; 캐리어가 감지되면, 정보를 보내지 않고 대기 • 만약 대기하던 두 PC에서 정보를 동시에 보내면 다중접근(Multiple Access)라 함 • 따라서 충돌 감지를 위해 CS가 필요 • 충돌을 감지하면, 랜덤한 시간을 기다린 후 다시 전송 • 통상 15회 충돌 후 다시 보내다가 포기 http://100.daum.net/encyclopedia/view.do?docid=b17a3087n9 (검색일:2012.08.) 진강훈(2006), 시스코 네트워킹, 사이버출판사, pp. 23-26
Ethernet IEEE802.3 규격은 IP패킷등 가변길이 데이터패킷을 운반하는 프레임 형식과 속도나 매체별적정신호 변환방식(물리층)을 규정한다. 김현우(2006), 100Gbps 이더넷 기술의 최신동향, 모니터링분석, 한국과학기술정보연구원, p. 2.
Cable RJ-45커넥터 외 장비 데이터 케이블, 허브 등을 Physical Layer이고 통신단위는 비트이고 이 계층에서는 데이터가 무엇인지, 어떤 에러가 있는지, 어떻게 보내는 것이 효과적인지를 알 수가 없습니다. 즉 DPI와 무관하다고 일단 보시면 이해가 쉽겠네요. http://thesever.tistory.com/location (검색일:2012.08.)
Media Access Control MAC은 48Bit(6octet=옥테트, 도레미파솔라시도=옥타브)로 랜카드, 라우터등 모든 디바이스에 유일한 MAC 주소를 갖습니다. IP주소를 MAC주소로 바꾸는 과정을 ARP(addressResolution Protocol)이라합니다. http://www.cisco.com/warp/public/cc/techno/lnty/etty/ggetty/tech/gigbt_tc/gigbt_t2.jpg (검색일:2012.08.)
Media Access Control 맥주소가 있으면, IP주소가 필요없는 걸까요? Data Link 계층의 MAC 부터 Network 계층의 IP, Transport 계층의 TCP, Application 계층의 Data까지 패킷 중 MAC protocol http://cfile28.uf.tistory.com/image/1177E2034BCFAC496473CA (검색어:2012.08)
TCP/IP protocol, 패킷구조체 http://helloworld.naver.com/helloworld/47667
IP protocol, 패킷 구조 version : 버전 Header length : IP header의 길이 Type of Service(TOS) : 서비스의 종류 (FTP, DNS.....) total length : 패킷 전체의 길이 Identification : 16bit로 각각의 datagram을 구분 Fragmentation offset : 분절에 대한 offset Time to live(TTL) : 패킷의 생존시간 Protocol : 프로토콜 Header checksum : 오류검출 Source IP address : 32bit로 데이터를 보내는 주소 Destination IP address : 32bit로 데이터를 받는 주소 http://cfile28.uf.tistory.com/image/1177E2034BCFAC496473CA (검색어:2012.08)
TCP protocol, 패킷 구조 Source Port : 소스 포트 번호 Destination Port : 목적지 포트 번호 Sequence number : 패킷의 첫 번째 바이트의 일련번호 Acknowledgment number : 수신될 다음번 바이트의 예상 일련번호 Data Offset : 패킷내의 데이터 오프셋 Control Bits : URG : 긴급 포인터 ACK : 승인 PSH : 푸쉬 기능 RST : 접속의 리셋SYN : 동기화 일련번호 FIN : 송신자로부터 더 이상의 데이터 없음 Window : 송신자의 윈도우 사이즈 Checksum : 헤더와 데이터의 TCP 체크섬값Urgent Pointer : TCP 긴급 포인터 Options : TCP 옵션들 *SEG_SEQ : 패킷의 일련번호 *SEG_ACK : 패킷의 확인번호 *SEG_FLAG : 제어 비트 http://k.daum.net/qna/openknowledge/view.html?category_id=QC&qid=0ZUFh&q=data+offset&srchid=NKS0ZUFh(검색어:2012.08)
실 세계에 DPI • Network Visibility (The key for understanding how bandwidth is utilized) • Which application? • Which user? • When? Where? • Traffic Management (Application Control) • Block • Shape (limit, QoS, QoE) • Service Management (Subscriber Control) • Associate connection (IP X.Y.Z.W) with a user and its service use policy Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt
Analysis by Port Reasoning: Many applications and protocols use a default port Example: email Incoming POP3: 110 (995 if using SSL) Outgoing SMTP: 25 The Good - It’s easy, The Bad - It’s too easy Many applications disguise themselves (e.g., Port 80) Port hopping large range, overlapping apps Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt
Analysis by String Match Reasoning: Many applications have pure textual identifiers Easy to search for Very easy if in a specific location within a packet Uniqueness not always guaranteed Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt
StringMatch Example 서비스 특유의 패턴을 라이브러리에 저장하여 비교 분석함 Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt
Analysis by Numerical Properties Property is not only content: Packet size Payload/message length Position within packet In some cases sparse and spread over several packets Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt
Example: Sparse Match Identifying John Doe Protocol 35 8A 27 7F Connection #1 15 82 98 71 Connection #2 A5 80 72 7F Connection #3 95 88 8A 7F Connection #4 Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt
Skype (Older Versions): Finding a TCP Connection Client Server UDP Messages 18 byte message N+8 Evolution 11 byte message 23 byte message N+8+5 Either 18, 51 or 53 byte message Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt
신호처리;SIP(Session Initiation Protocol) 미디어처리;RTP/RTCP(Real Time Protocol) G 7.11코덱은 압축 없이 음성을 디지털 신호로 변환 mVoIP애플리케이션의 대부분이 G.711 코덱 사용 CPU 부하량 적고 데이터 소모량 높음 나성현 외(2011), 모바일 인터넷전화가 이동통신시장의 진화에 미치는 영향, 정보통신정책연구원, p. 33, 그림 2-4
신호처리;SIP(Session Initiation Protocol) 미디어처리;RTP/RTCP(Real Time Protocol) WiFi VoIP, WiMAX VoIP, 3G VoIP, 4G(WiMAX LTE) VoIP 중 WiFi VoIP가 많이 활용 나성현 외(2011), 모바일 인터넷전화가 이동통신시장의 진화에 미치는 영향, 정보통신정책연구원, p. 36, 그림 2-6
PI (Packet Inspection)의구분 결국,DPI 기술은 데이터 보호와 프라이버시 이슈 야기(김정희, 2011) 박희영(2011), DPI기술의 운영과 ISP의 형사책임, Internet and Information Security, 한국인터넷진흥원, p. 107. 정리하여 재구성
DPI처리 프로세스 Packet를 주문형반도체로 처리하여 빠르게 하든 C++로 구현된 소프트웨어로 처리하든 1단계 DPI처리에서 DPI라이브러리를 참조하여 Packet를 추출하고 2단계 DPI처리에서 Payload까지 심도있는 분석을 할 수 있다. 김학서(2011), DPI기반 응용 인지 기술, 한국전자통신연구원, p. 3.
인터넷 트래픽 측정 시스템 IP를 통해 전송되는 주요 인터넷 트래픽으로는TCP, UDP, ICMP 등이 있으며, 응용 관점의 트래픽으로는TELNET, FTP, HTTP, SMTP, SNMP, RPC, RTP, RTCP 등이 있다. 현재 발생되는 트래픽을 최적으로 서비스 할 수 있는 라우팅 정책, 라우터의 스케줄링 기법 그리고 라우터의 버퍼 관리 기법 등을 선택할 수 있다. http://www.itdaily.kr/news/articleView.html?idxno=20157# (검색일:2012.08.) 임성준, 인터넷 트래픽 측정 시스템, 한국과학기술정보연구원, p. 1.
수동적인 방법 • 분리기(Splitter)를 이용하는 방법으로 ATM 스위치 같은 네트워크 노드(Network node) 사이의 링크에 분리기를 연결시켜서 두 네트워크 노드사이를 통과하는 패킷을 복사해서 Passive monitor에게 넘겨주어 그 네트워크 노드 사이를 통과하는 트래픽 종류와 양을 파악할 수 있다. • 라우터같은 네트워크 노드를 통해 지나간 패킷들의 종류와 양에 대한 통계적인 정보를 제공하는 패킷을 이용하는 방법으로 이 패킷을주기적으로 Control Information Collector에게 전달하고,Collector는 전달받은 통계 정보를 통해 네트워크 노드의 특정 네트워크 인터페이스를 통해 출입한트래픽의 종류와 양을 파악할 수 있게 한다. 임성준, 인터넷 트래픽 측정 시스템, 한국과학기술정보연구원, pp. 1-2.
능동적인 방법 측정구조 능동적인 측정은 종단 호스트인 Active monitor가 측정 패킷 (Measurement packet) 을 주기적이거나 랜덤하게 네트워크에 투입하여 그 측정 패킷이 측정구간의 두 Active monitor 사이에서 지연되는 시간과 손실되는 정도를 측정하여 그 구간의 네트워크 상태를 파악할 수 있게 한다. 임성준, 인터넷 트래픽 측정 시스템, 한국과학기술정보연구원, pp. 1-2.
DPI (Deep Packet Inspection) 스팸, 봇넷, 디도스, 해킹 등으로 인하여 더 이상 현재의 인터넷으로는 제대로 사회적 기능을 수행할 수 없다.(“internet is broken”) …망중립성의실패….경제적, 사회적 문제도 적지 않다. (김민중(2011), 미래인터넷에서 콘텐츠의 보호와 관련한 이슈에 대한 검토, 전북대 법학연구, 32, p.50) 참조 :http://www.edecision4u.com/Deep%20Packet%20Inspection%20Reconstruction.html (검색일:2012.05.28)
시스코라우팅 중 대역 제어(traffic shaping) 데이터가 그 중요도나 송,수신인이 누구인가와 무관하게 선입선출(FIFO: first-in-first-out)방식에 의해 동등하게 취급되는 평등성은 인터넷의 핵심, 그러나 이 원칙을 지칠 수 없는 경우는? 그림 참조: http://www.cisco.com/en/US/docs/ios/12_2/qos/configuration/guide/qcfpolsh.html#wp1001194(2012.05.28) 글참조: 김성찬 외(2008), 망중립성의 배경 및 이론의 이해, 정보통신정책연구 15(1), p 101.
트래픽 오프로딩(Traffic offloading) DPI기술의 발전으로 인해 패킷이 담고 있는 데이터의 헤더뿐 아니라 내용도 분석 이러한 분석을 바탕으로 패킷들의 전송 순위를 정하거나 특정 패킷을 차단할 수 있게 된 것 (박상인(2011), 망중립성 규제, 정책연구동향 3, p.27) 그림 참조: http://www.ccpu.com/wp-content/uploads/diagram-article-offloadvsshapingfig5.jpg (2012.05.28)
폴링(Polling) 방식 폴링 방식이란 전송제어 방식의 하나로, 어떤 프로그램이나 장치들이 이와 연결된 다른 프로그램이나 장치가 어떠한 상태에 있는지를 지속적으로 체크하는 것을 말한다. 최종원, 김지현(2011), 망사업자에 의한 SNS 차단의 정당성과 규제가능성 연구, PNU School of Law, p.436. 참조: http://www.neoseeker.com/news/9965-google-amazon-and-more-trying-to-ban-canadas-traffic-shaping/
과연….. 그럴까? DPI(Deep Packet Inspection) 기술은 종래 LAN direct 트래픽을 효율적으로 운영하도록 돕거나 보안 리스크를 없애기 위한 기술로 개발되었다. DPI는 패킷 헤더에서 제공되지 않았던 추가적인 트래픽정보를 제공해 줄 뿐만 아니라, 데이터의 내용을 키워드로 선별하여 패킷을트래킹, 필터링, 차단하는 것까지 가능하게 한다. DPI를 활용하면 신상, Billing 정보 등의 DB를 축적하여 정보 맵을 구축하는 것도 가능하다. 황주연(2011), 유럽에서의 망 중립성 논의 동향, 23(6), p.7. http://www.hill2dot0.com/wiki/index.php?title=Generic_traffic_shaping
과연….. 그럴까? 유럽의 경우, “통신사업자들과 설비 제조업자들은 DPI 기술이 트래픽 관리행위를 위한 필수적인 전제조건은 아니라는입장을 보였다.” 유선과 무선 네트워크 간에 동일한 트래픽 관리행위 원칙이 적용되어야 하며, EU 프레임워크는 기술중립적(technology-neutral)인 상태로 남아 있어야 한다는 의견이 많았다. 황주연(2011), 유럽에서의 망 중립성 논의 동향,pp. 12-13 http://stopusagebasedbilling.wordpress.com/2009/10/28/c-deep-packet-inspection/
잘 이해하셨는지 확인해보겠습니다. 아래 그림 중 DPI는 무엇을 보는 장비인가요? 아래 그림 중 SPI는 어느 계층을 보는 장비일까요? 참조: http://www.c-sharpcorner.com/UploadFile/898089/concept-of-open-systems-interconnection-osi-model-in-netwo/Images/Osi-model-jb.png (검색일:2012.08)
시작하며 던진 화두 DPI, 우리가 용인해야 할 범위는 어디까지 일까요?
redsea@dongguk.ac.kr mooknc@gmail.com 다음 내용은 참조입니다. 시간이 허락되면 설명이 더해집니다. 이미지 참조-http://www.slideshare.net/brandhoony/age-of-participation(검색일:2012.04.16)