발제_망중립과DPI(강장묵)

advertisement
Deep Packet Inspection and Net Neutrality
(Packet, DPI, SPI, TCP/IP, OSI 7)
2012년 9월 27일 목요일
경실련 강당
발표: 강장묵
목차
1. DPI에 대해 함께 묻고 생각해봅시다.
2. 네트워크의 물리적 망, 논리적 구조 등을 배워봅시다.
3. DPI작동원리를 학습해봅시다.
4. 생각의 여백을 갖겠습니다.
발제
망 중립이란 사용자간 연결(end to end) 커뮤니케이션에서 어떤 망을 이용하든
서비스에 차별이 없어야 한다
출처: http://www.flickr.com/photos/pixas/331724893/
강장묵
mooknc@gmail.com
1 장. DPI에 대해 묻고 답해봅니다.
출처: http://mimocom.knu.ac.kr/xe/images/2.jpg
시작하며, 다음을 묻습니다.
DPI를 사용한다면, Packet의 Payload를 보는 걸까요?
(얼마 전, KT 등 망사업자는 DPI장비를 구매하고 이를 활용
할 계획이 있다고 보도됨)
DPI를 사용한다면, QoS가 보장되는 것인가요?
어느 정도나 보장되는 것일까요?
네트워크 망 즉 패킷망이 회선망처럼 QoS의 보장을 전제로 설계되었
는지요?
QoS를 망사업자가 하면, 어플리케이션 등에서 기존에 해오던 QoS는
어떻게 되는 것인지요?
http://cfile28.uf.tistory.com/image/1177E2034BCFAC496473CA (검색어:2012.08)
언제 DPI를 사용하는 것이 바람직할까요?
현황: 최근 모바일 기기의 보급으로 인터넷 트래픽이 급증하고 있으며, 또한 사용자들
의 P2P 사용으로 인터넷 트래픽은 기하급수적으로 증가하고 있다. 또한 앞으로도 계속
적으로 모바일 트래픽이 늘어날 전망이다.
- 따라서 이러한 증가하는 트래픽으로 인하여 망의 부하가 가속될 예정이며, 또한 모바
일 기기의 급증으로 유해 트래픽으로 인한 피해도 예상되고 있음.
- 이러한 문제를 해결하기 위하여 망에서 지나가는 트래픽을 분석하여 너무나 과대한
트래픽을 보내는 사용자의 트래픽이나 단말에 피해를 주는 유해 트래픽을 찾아서 제
어함으로 망의 부하와 보안 문제를 해결할 수 있음.
- 망 중립성 이슈로 인하여 P2P 트래픽 혹은 유해 트래픽 등과 같이 망에 많은 부담
을 주는 트래픽을 감소시켜 망의 부담을 감소하는 방법으로 DPI 기능을 사용
- 평소에는 DPI 기능을 설정하지 않고 일반 라우터 기능을 수행하다가
DDOS, 바이러스 등 위해 할 경우에만 DPI기능을 쓰면 어떨까?
Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2010∼2015
http://www.itec.re.kr/itec/sub02/sub02_01_1.do?t_id=5466# (검색일:2012.08.)
DPI 방식의 다양함
Shallow (Standard) Packet Inspection에서 부터 DPI 응용 인지 기술까지
DPI 응용 인지 기술이란?
라우터 시스템에서 DPI기반으로 라우터로 수신되는 트래픽의 시그너쳐를 조사하여 수
신된 트래픽이 어떤 응용 인가를 파악하고 인지된 응용에 맞는 트래픽 제어를 수행하
는 기술
Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt
http://www.itec.re.kr/itec/sub02/sub02_01_1.do?t_id=5466# (검색일:2012.08.)
Deep Packet Inspection
Signature over
several packets found
information regarding connection state
Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt
mVoIP, 찬반 사례
나성현 외(2011), 모바일 인터넷전화가 이동통신시장의 진화에 미치는 영향, 정보통신정책연구원, p. 71, 표 3-12
양비론의 지양
기존 통신 규제가 물리망 계층의 규모 경제
(economies of scale)에 중점을 두고 있는 점을 고려
하여, 인터넷 중심의 스마트 생태계가 기반 하는 인
터넷 환경과 그 플랫폼 운영의 범위경제(economies
of scope)를 극대화하는 정책개념으로서 새로운 수
평규제의 체계를 도입할 필요가 있음
이런 의견들도 있을 수 있겠지만, 본질적으로 양립
할 수 없는 권리(프라이버시 등)은 어떻게 해결하는
것이 좋을까?
강홍렬 외(2011), 스마트TV와 미디어 패러다임 변화, 정보통신정책연구원, p. 77.
해결방안은 많되, 가장 효과적인가?
Domain Name System의 보안 이슈 별 해결 방안
한국인터넷 진흥원(2012) DNS 대피소 모델 연구, p. 27, 표 2-3
인터넷 트래픽 관리,
반드시 해야할 관리와
관리 효율보다 Side Effect가 크다면?
네트워크 운영자, 인터넷 서비스 제공자가 네트워크 혼잡
시 전체 트래픽을 효율적으로 관리하거나 적정 서비스 품
질을 보장하기 위해 트래픽을 제한, 특정 트래픽에 대해 우
선권을 부여하는 등의 활동
일반적인 인터넷 데이터 처리 방식인 ‘first in first out’,
‘Best effort’ 방식이 아닌 데이터 패킷의 출발지, 목적지, 애
플리케이션 타입, 이용단말 등에 따라 전송 품질을 차등하
는 관리 기법
망중립성이 훼손되면, 프라이버시는? 데이터 보안은?
김정희(2011), 인터넷 트래픽 관리, 인터넷&시큐리티 이슈, 한국인터넷진흥원, p. 31.
1-7 중 어느 수준의 관리가 적정한가?
김정희(2011), 인터넷 트래픽 관리, 인터넷&시큐리티 이슈, 한국인터넷진흥원, p. 31.
2 장. 네트워크에 대해 생각해봅니다.
OSI 7 Layer와 각 레이어 별 프로토콜
http://cfile28.uf.tistory.com/image/1177E2034BCFAC496473CA (검색어:2012.08)
Ethernet
우리나라의 네트워킹 방식의 90% 이상이 이너넷 방식(다른 방식; 토큰링, FDDI, ATM방식)
이너넷 캐이블
-
어떤 네트워크 장비를 사용하느냐에 따라 랜카드부터 모든 네트워크 장비를 다르게 구입
이너넷의 CSMACD(carrier Sense Multiple Access/Collision Detection)라는 통신 방식사용
 이 방식은 ‘대충 알아서 눈치로 통신하자’ 임
 Carrier Sense; 캐리어가 감지되면, 정보를 보내지 않고 대기
 만약 대기하던 두 PC에서 정보를 동시에 보내면 다중접근(Multiple Access)라 함
 따라서 충돌 감지를 위해 CS가 필요
 충돌을 감지하면, 랜덤한 시간을 기다린 후 다시 전송
 통상 15회 충돌 후 다시 보내다가 포기
http://100.daum.net/encyclopedia/view.do?docid=b17a3087n9 (검색일:2012.08.)
진강훈(2006), 시스코 네트워킹, 사이버출판사, pp. 23-26
Ethernet
IEEE802.3 규격은 IP패킷 등 가변길이 데이터패킷을 운반하는 프레임
형식과 속도나 매체별 적정신호 변환방식(물리층)을 규정한다.
김현우(2006), 100Gbps 이더넷 기술의 최신동향, 모니터링분석, 한국과학기술정보연구원, p. 2.
Cable
RJ-45커넥터 외 장비
데이터 케이블, 허브 등을 Physical Layer이고 통신단위는 비트이고 이 계층에
서는 데이터가 무엇인지, 어떤 에러가 있는지, 어떻게 보내는 것이 효과적인지
를 알 수가 없습니다. 즉 DPI와 무관하다고 일단 보시면 이해가 쉽겠네요.
http://thesever.tistory.com/location (검색일:2012.08.)
Media Access Control
MAC은 48Bit(6octet=옥테트, 도레미파솔라시도=옥타브)로 랜카드, 라우터 등
모든 디바이스에 유일한 MAC 주소를 갖습니다.
IP주소를 MAC 주소로 바꾸는 과정을 ARP(address Resolution Protocol)이라
합니다.
http://www.cisco.com/warp/public/cc/techno/lnty/etty/ggetty/tech/gigbt_tc/gigbt_t2.jpg (검색일:2012.08.)
Media Access Control
맥 주소가 있으면, IP주소가 필요없는 걸까요?
Data Link 계층의 MAC 부터 Network 계층의 IP, Transport 계층
의 TCP, Application 계층의 Data까지 패킷 중 MAC protocol
http://cfile28.uf.tistory.com/image/1177E2034BCFAC496473CA (검색어:2012.08)
TCP/IP protocol, 패킷 구조체
http://helloworld.naver.com/helloworld/47667
IP protocol, 패킷 구조
version : 버전
Header length : IP header의 길이
Type of Service(TOS) : 서비스의 종류 (FTP, DNS.....)
total length : 패킷 전체의 길이
Identification : 16bit로 각각의 datagram을 구분
Fragmentation offset : 분절에 대한 offset
Time to live(TTL) : 패킷의 생존시간
Protocol : 프로토콜
Header checksum : 오류검출
Source IP address : 32bit로 데이터를 보내는 주소
Destination IP address :
32bit로 데이터를 받는 주소
http://cfile28.uf.tistory.com/image/1177E2034BCFAC496473CA (검색어:2012.08)
TCP protocol, 패킷 구조
Source Port : 소스 포트 번호
Destination Port : 목적지 포트 번호
Sequence number : 패킷의 첫 번째 바이트의 일련번호
Acknowledgment number : 수신될 다음번
바이트의 예상 일련번호
Data Offset : 패킷내의 데이터 오프셋
Control Bits :
URG : 긴급 포인터
ACK : 승인
PSH : 푸쉬 기능
RST : 접속의 리셋
SYN : 동기화 일련번호
FIN : 송신자로부터 더 이상의 데이터 없음
Window : 송신자의 윈도우 사이즈
Checksum : 헤더와 데이터의 TCP 체크섬값
Urgent Pointer : TCP 긴급 포인터
Options : TCP 옵션들
*SEG_SEQ : 패킷의 일련번호
*SEG_ACK : 패킷의 확인번호
*SEG_FLAG : 제어 비트
http://k.daum.net/qna/openknowledge/view.html?category_id=QC&qid=0ZUFh&q=data+offset&srchid=NKS0ZUFh(검색어:2012.08)
3 장. DPI 작동 원리를 살펴봅니다.
실 세계에 DPI
• Network Visibility (The key for understanding how
bandwidth is utilized)
– Which application?
– Which user?
– When? Where?
• Traffic Management (Application Control)
– Block
– Shape (limit, QoS, QoE)
• Service Management (Subscriber Control)
– Associate connection (IP X.Y.Z.W) with a user and its
service use policy
Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt
Analysis by Port
• Reasoning:
– Many applications and protocols use a default
port
• Example: email
– Incoming POP3: 110 (995 if using SSL)
– Outgoing SMTP: 25
• The Good - It’s easy, The Bad - It’s too easy
– Many applications disguise themselves (e.g., Port
80)
– Port hopping  large range, overlapping apps
Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt
Analysis by String Match
• Reasoning:
– Many applications have pure textual
identifiers
• Easy to search for
– Very easy if in a specific location within a
packet
• Uniqueness not always guaranteed
Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt
String Match Example
서비스 특유의 패턴을 라이브러리에 저장하여 비교 분석함
Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt
Analysis by Numerical Properties
• Property is not only content:
– Packet size
– Payload/message length
– Position within packet
• In some cases sparse and spread over
several packets
Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt
Example: Sparse Match
Identifying John Doe Protocol
Connection #1
35
8A
27
7F
Connection #2
15
82
98
71
Connection #3
A5
80
72
7F
Connection #4
95
88
8A
7F
Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt
Skype (Older Versions): Finding a TCP
Connection
Client
Server
UDP Messages
18 byte messageN+8
Evolution
11 byte message
23 byte message
N+8+5
Either 18, 51 or 53 byte message
Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt
신호처리;SIP(Session Initiation Protocol)
미디어처리;RTP/RTCP(Real Time Protocol)
G 7.11코덱은 압축 없이 음성을 디지털 신호로 변환
mVoIP 애플리케이션의 대부분이 G.711 코덱 사용
CPU 부하량 적고 데이터 소모량 높음
나성현 외(2011), 모바일 인터넷전화가 이동통신시장의 진화에 미치는 영향, 정보통신정책연구원, p. 33, 그림 2-4
신호처리;SIP(Session Initiation Protocol)
미디어처리;RTP/RTCP(Real Time Protocol)
WiFi VoIP, WiMAX VoIP, 3G VoIP, 4G(WiMAX LTE) VoIP 중 WiFi VoIP가 많이 활용
나성현 외(2011), 모바일 인터넷전화가 이동통신시장의 진화에 미치는 영향, 정보통신정책연구원, p. 36, 그림 2-6
PI (Packet Inspection)의 구분
SPI
(shallow packet
inspection)
(stateful packet
inspection)
1계층(물리계층)에서
4계층(전송계층,
TCP/UDP)까지 분석
DPI 심층 패킷 분석
5계층(세션 계측)에서
7계층(응용계층)까지
분석
따라서 DPI는 패킷의
내용까지 보게 된다.
결국, DPI 기술은 데이터 보호와 프라이버시 이슈 야기(김정희, 2011)
박희영(2011), DPI기술의 운영과 ISP의 형사책임, Internet and Information Security, 한국인터넷진흥원, p. 107. 정리하여 재구성
DPI 처리 프로세스
Packet를 주문형반도체로 처리하여 빠르게 하든 C++로 구현된 소프트웨어로 처리하든
1단계 DPI처리에서 DPI라이브러리를 참조하여 Packet를 추출하고
2단계 DPI처리에서 Payload까지 심도있는 분석을 할 수 있다.
김학서(2011), DPI기반 응용 인지 기술, 한국전자통신연구원, p. 3.
인터넷 트래픽 측정 시스템
IP를 통해 전송되는 주요 인터넷 트래픽으로는 TCP, UDP,
ICMP 등이 있으며, 응용 관점의 트래픽으로는 TELNET, FTP,
HTTP, SMTP, SNMP, RPC, RTP, RTCP 등이 있다.
현재 발생되는 트래픽을 최적으로 서비스 할 수 있는 라우팅 정책, 라우터의 스
케줄링 기법 그리고 라우터의 버퍼 관리 기법 등을 선택할 수 있다.
http://www.itdaily.kr/news/articleView.html?idxno=20157# (검색일:2012.08.)
임성준, 인터넷 트래픽 측정 시스템, 한국과학기술정보연구원, p. 1.
수동적인 방법
 분리기(Splitter)를 이용하는 방법으로 ATM 스위치 같은 네
트워크 노드(Network node) 사이의 링크에 분리기를 연결
시켜서 두 네트워크 노드 사이를 통과하는 패킷을 복사해
서 Passive monitor에게 넘겨주어 그 네트워크 노드 사이
를 통과하는 트래픽 종류와 양을 파악할 수 있다.
 라우터 같은 네트워크 노드를 통해 지나간 패킷들의 종류
와 양에 대한 통계적인 정보를 제공하는 패킷을 이용하는
방 법 으 로 이 패 킷 을 주 기 적 으 로 Control Information
Collector에게 전달하고,Collector는 전달받은 통계 정보를
통해 네트워크 노드의 특정 네트워크 인터페이스를 통해
출입한트래픽의 종류와 양을 파악할 수 있게 한다.
임성준, 인터넷 트래픽 측정 시스템, 한국과학기술정보연구원, pp. 1-2.
능동적인 방법
측정구조
능동적인 측정은 종단 호스트인 Active monitor가 측정 패킷
(Measurement packet) 을 주기적이거나 랜덤하게 네트워크
에 투입하여 그 측정 패킷이 측정구간의 두 Active monitor
사이에서 지연되는 시간과 손실되는 정도를 측정하여 그 구
간의 네트워크 상태를 파악할 수 있게 한다.
임성준, 인터넷 트래픽 측정 시스템, 한국과학기술정보연구원, pp. 1-2.
DPI (Deep Packet Inspection)
스팸, 봇넷, 디도스, 해킹 등으로 인하여 더 이상 현재의 인터넷으로는
제대로 사회적 기능을 수행할 수 없다.(“internet is broken”)
…망중립성의 실패….경제적, 사회적 문제도 적지 않다.
(김민중(2011), 미래인터넷에서 콘텐츠의 보호와 관련한 이슈에 대한 검토, 전북대 법학연구, 32, p.50)
참조 :http://www.edecision4u.com/Deep%20Packet%20Inspection%20Reconstruction.html (검색일:2012.05.28)
시스코 라우팅 중 대역 제어(traffic shaping)
데이터가 그 중요도나 송,수신인이 누구인가와 무관하게 선입선출(FIFO: first-in-first-out)방식에
의해 동등하게 취급되는 평등성은 인터넷의 핵심, 그러나 이 원칙을 지칠 수 없는 경우는?
그림 참조: http://www.cisco.com/en/US/docs/ios/12_2/qos/configuration/guide/qcfpolsh.html#wp1001194(2012.05.28)
글참조: 김성찬 외(2008), 망중립성의 배경 및 이론의 이해, 정보통신정책연구 15(1), p 101.
트래픽 오프로딩(Traffic offloading)
DPI기술의 발전으로 인해
패킷이 담고 있는 데이터의 헤더뿐 아니라 내용도 분석
이러한 분석을 바탕으로 패킷들의 전송 순위를 정하거나
특정 패킷을 차단할 수 있게 된 것
(박상인(2011), 망중립성 규제, 정책연구동향 3, p.27)
그림 참조: http://www.ccpu.com/wp-content/uploads/diagram-article-offloadvsshapingfig5.jpg (2012.05.28)
폴링 (Polling) 방식
폴링 방식이란 전송제어 방식의 하나로, 어떤 프로그램이나 장치들이 이와 연결된 다
른 프로그램이나 장치가 어떠한 상태에 있는지를 지속적으로 체크하는 것을 말한다.
최종원, 김지현(2011), 망사업자에 의한 SNS 차단의 정당성과 규제가능성 연구, PNU School of Law, p.436.
참조: http://www.neoseeker.com/news/9965-google-amazon-and-more-trying-to-ban-canadas-traffic-shaping/
과연….. 그럴까?
과연….. 그럴까?
DPI(Deep Packet Inspection) 기술은 종래 LAN direct 트래픽을 효율적으로 운영하도록
돕거나 보안 리스크를 없애기 위한 기술로 개발되었다. DPI는 패킷 헤더에서 제공되지
않았던 추가적인 트래픽 정보를 제공해 줄 뿐만 아니라, 데이터의 내용을 키워드로 선별
하여 패킷을 트래킹, 필터링, 차단하는 것까지 가능하게 한다. DPI를 활용하면 신상,
Billing 정보 등의 DB를 축적하여 정보 맵을 구축하는 것도 가능하다.
황주연(2011), 유럽에서의 망 중립성 논의 동향, 23(6), p.7.
http://www.hill2dot0.com/wiki/index.php?title=Generic_traffic_shaping
과연….. 그럴까?
유럽의 경우,
“통신사업자들과 설비 제조업자들은 DPI 기술이 트래픽 관리행위를 위한 필수적인 전제
조건은 아니라는 입장을 보였다.”
유선과 무선 네트워크 간에 동일한 트래픽 관리행위 원칙이 적용되어야 하며, EU 프레
임워크는 기술중립적(technology-neutral)인 상태로 남아 있어야 한다는 의견이 많았다.
황주연(2011), 유럽에서의 망 중립성 논의 동향, pp. 12-13
http://stopusagebasedbilling.wordpress.com/2009/10/28/c-deep-packet-inspection/
WiFi-Station 통신
마지막 장. 되새김질과 생각의 여백
잘 이해하셨는지 확인해보겠습니다.
1. 아래 그림 중 DPI는 무엇을 보는 장비인가요?
2. 아래 그림 중 SPI는 어느 계층을 보는 장비일까요?
참조: http://www.c-sharpcorner.com/UploadFile/898089/concept-of-open-systems-interconnection-osi-model-in-netwo/Images/Osi-model-jb.png (검색일:2012.08)
시작하며 던진 화두
DPI, 우리가 용인해야 할 범위는 어디까지 일까요?
redsea@dongguk.ac.kr
mooknc@gmail.com
다음 내용은 참조입니다.
시간이 허락되면 설명이 더해집니다.
이미지 참조-http://www.slideshare.net/brandhoony/age-of-participation(검색일:2012.04.16)
각 슬라이드의 이미지 참조
참조는 각 슬라이드의 아래 부분 또는 슬라이드 노트에 기술하였습니다.
참조: http://cfs16.tistory.com/image/10/tistory/2010/12/14/09/13/4d06b6b00ee94 (2012.08.)
Managing traffic with scavenger class
http://www.cdg.org/resources/files/white_papers/Traffic_Mgmt_and_Offload_White_Paper_Jan2011_v2.pdf (검색일:2012.05.28)
Preserving certain applications’ performance
during high load by scavenger class
http://www.slideshare.net/allabout4g/traffic-management-strategies-for-operators(검색일:2012.05.28)
Packet Filtering
• Should arriving packet be allowed in? Should a
departing packet be let out?
• Filter packet-by-packet, making decisions to
forward/drop a packet based on:
–
–
–
–
–
source IP address, destination IP address
TCP/UDP source and destination port numbers
ICMP message type
TCP SYN and ACK bits
...
참조: http://www.docstoc.com/docs/88005679/PMpacketFiltering(검색일:2012.05.28.)
IPv6, 사물간 통신
IPv6 체제가 일반화되면 세탁기, 냉장고, 화장실 변기, 그릇 각 각에도 고유한 식별
주소를 부여할 수 있다. 주소를 부여한다는 것은 정보를 주고받을 수 있게 하기 위
해서이다. IPv4에서 망중립성이 훼손되면 개인 수준의 서비스 내용과 주소가 위협받
지만, IPv6에서는 개인이 사용하는 숟가락, 젓가락 하나하나의 데이터 내용까지도
망 사업자가 볼 수 있는 위협에 쳐하게 된다.
참조: http://navercast.naver.com/contents.nhn?contents_id=4765
Download