Linuxでレイヤ7フィルタリングを実行する方法はありますか?

Linuxでレイヤ7フィルタリングを実行する方法はありますか?

L7-filter プロジェクトは 15 年になり、カーネルパッチが必要で、2.6 以上のカーネルをサポートしておらず、ほとんどのパターンファイルが 2003 年に作成されたようです。

一般に、プロジェクトが古くて人気が高い場合、新しいプロジェクトはそれを置き換えますが、レイヤ7フィルタリングを実行する最新のLinuxは見つかりません。

私は正しい場所を探していませんか?何らかの理由で、レイヤ7フィルタリングのアイデアは完全に放棄されましたか?最近ではハードウェアがより強力になるので、以前よりも実用的だと思います。

答え1

(以前)プロジェクトについて話しています。Linuxアプリケーション層パケット分類子2.4および2.6カーネル用のパッチで実装されました。

このプロジェクトの主な問題は、制御のために提案する技術が実装の実用性と効率を急速に超えていることです。

私が覚えている限り、プロジェクトメンバーは技術の進歩にもっと投資する時間(およびお金)がなく、実装権限を販売してすでに問題のあるプロジェクトを永久に終了しました。

このプロジェクト/技術が長年にわたって直面している課題(特定の順序なし):

  • 3.x/4.x カーネルバージョンにパッチを適用します。
  • 処理能力の欠如 - 一部の国では、今日の国内ギガビットブロードバンド速度にも効率的なレイヤ7トラフィックを形成するためにASICが必要です。
  • BitTorrentは深刻な難読化の使用を開始します。
  • 複数のプロトコルをカプセル化したり、検出を避けるために、HTTPS が多用され始めました。
  • ピアリングプロトコルは固定ポートの使用を停止し、パスを試み始めます。どのオープン/許可されたポート。
  • ユビキタスVoIPとリアルタイムビデオの増加により、トラフィックは小さな時間遅延にも非常に敏感になりました。
  • VPN接続の広範な使用。

その後、プロフェッショナルトラフィック形成製品の多くの研究開発が投資されました。

10年前の最先端技術には、暗号化/難読化されたトラフィックを検出するためにすでに特定のASICとヒューリスティック(多くの使用)が含まれていました。

高度な経験的方法の10年以上の経験に加えて、グローバルブロードバンドが発展するにつれて、トラフィック形成(およびファイアウォール)ベンダーは、グローバルデータのP2P共有をリアルタイムで使用してソリューションの効率を高めています。

高度な経験的方法を世界中の何千ものリアルタイム分析/共有データと組み合わせます。

Allot NetEnforcerと同じように効率的に動作するオープンソース製品を構成することは非常に困難です。

オープンソースソリューションを使用すると、インフラストラクチャの帯域幅状態の目的のためにIPアドレスによって使用されるトラフィックの種類/特性に基づいてトラフィックを形成することはもはや一般的ではありません。ネットワークレベルで

今日の一般的なトラフィック制御とインフラストラクチャの帯域幅容量を保護するために、ファイアウォールに加えて、一般的な戦略は、高度なトラフィック調整ハードウェアを使用せずに帯域幅の小さな部分を各IPアドレスに割り当てることです。

答え2

ネットティファイドはオープンソースディープパケットチェックl7 フィルターの交換。 l7-filterプロジェクトの最後の管理者によって開発され、LinuxとBSDで利用可能です。カーネルハッキングは必要ありません。

暗号化プロトコルや最新のBitTorrentなどを検出するのは難しいですが、確実に解決できます。詳細なパケット検査は、単純なプロトコル検査(l7-filterプロジェクトの焦点)以上です。たとえば、Netify DPIはSSLセッションで弱いパスワードを検出できます。これはしばしば古いファームウェアを実行するデバイスの兆候です。

Rui Fが述べたように、継続的なマルチギガビットレートにはASICまたは特別なハードウェアが必要です。ただし、ネットワークエッジでは、1GBの速度でもDPIを通常のコンピュータハードウェアに展開できます。実行するには少し馬力が必要です。これは効果的な侵入検知/防止エンジンとほぼ同じです。通常、ネットワークセッションの最初の10個のパケットのみが処理されるため、小さなスペースで動作できます。

関連情報