Deep Packet Inspection and Net Neutrality (Packet, DPI, SPI, TCP/IP, OSI 7)

2012 년 9 월 27 일 목요일경실련 강당발표 : 강장묵

발제

강장묵 mooknc@gmail.com

목차1. DPI 에 대해 함께 묻고 생각해봅시다 .

2. 네트워크의 물리적 망 , 논리적 구조 등을 배워봅시다 .

3. DPI 작동원리를 학습해봅시다 .

4. 생각의 여백을 갖겠습니다 .

망 중립이란 사용자간 연결 (end to end) 커뮤니케이션에서 어떤 망을 이용하든 서비스에 차별이 없어야 한다출처 : http://www.flickr.com/photos/pixas/331724893/

1 장 . DPI 에 대해 묻고 답해봅니다 .출처 : http://mimocom.knu.ac.kr/xe/images/2.jpg

시작하며 , 다음을 묻습니다 .

DPI 를 사용한다면 , Packet 의 Payload 를 보는 걸까요 ?( 얼마 전 , KT 등 망사업자는 DPI 장비를 구매하고 이를 활용할 계획이 있다고 보도됨 )

http://cfile28.uf.tistory.com/image/1177E2034BCFAC496473CA ( 검색어 :2012.08)

DPI 를 사용한다면 , QoS 가 보장되는 것인가요 ?어느 정도나 보장되는 것일까요 ? 네트워크 망 즉 패킷망이 회선망처럼 QoS 의 보장을 전제로 설계되었는지요 ?QoS 를 망사업자가 하면 , 어플리케이션 등에서 기존에 해오던 QoS 는 어떻게 되는 것인지요 ?

언제 DPI 를 사용하는 것이 바람직할까요 ?

현황: 최근 모바일 기기의 보급으로 인터넷 트래픽이 급증하고 있으며 , 또한 사용자들의 P2P 사용으로 인터넷 트래픽은 기하급수적으로 증가하고 있다 . 또한 앞으로도 계속적으로 모바일 트래픽이 늘어날 전망이다 .

- 따라서 이러한 증가하는 트래픽으로 인하여 망의 부하가 가속될 예정이며 , 또한 모바일 기기의 급증으로 유해 트래픽으로 인한 피해도 예상되고 있음 .

- 이러한 문제를 해결하기 위하여 망에서 지나가는 트래픽을 분석하여 너무나 과대한 트래픽을 보내는 사용자의 트래픽이나 단말에 피해를 주는 유해 트래픽을 찾아서 제어함으로 망의 부하와 보안 문제를 해결할 수 있음 .

- 망 중립성 이슈로 인하여 P2P 트래픽 혹은 유해 트래픽 등과 같이 망에 많은 부담을 주는 트래픽을 감소시켜 망의 부담을 감소하는 방법으로 DPI 기능을 사용- 평소에는 DPI 기능을 설정하지 않고 일반 라우터 기능을 수행하다가

DDOS, 바이러스 등 위해 할 경우에만 DPI기능을 쓰면 어떨까?Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2010∼2015http://www.itec.re.kr/itec/sub02/sub02_01_1.do?t_id=5466# ( 검색일 :2012.08.)

DPI 방식의 다양함

DPI 응용 인지 기술이란 ?라우터 시스템에서 DPI 기반으로 라우터로 수신되는 트래픽의 시그너쳐를 조사하여 수신된 트래픽이 어떤 응용 인가를 파악하고 인지된 응용에 맞는 트래픽 제어를 수행하는 기술

Shallow (Standard) Packet Inspection 에서 부터 DPI 응용 인지 기술까지

Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOthttp://www.itec.re.kr/itec/sub02/sub02_01_1.do?t_id=5466# ( 검색일 :2012.08.)

Deep Packet Inspection

information regarding connection state

Signature over several packets found

Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt

mVoIP, 찬반 사례

나성현 외 (2011), 모바일 인터넷전화가 이동통신시장의 진화에 미치는 영향 , 정보통신정책연구원 , p. 71, 표 3-12

기 존 통 신 규 제 가 물 리 망 계 층 의 규 모 경 제(economies of scale) 에 중 점 을 두 고 있 는 점 을 고려하여 , 인터넷 중심의 스마트 생태계가 기반 하는 인터넷 환경과 그 플랫폼 운영의 범위경제 (economies of scope) 를 극 대 화 하 는 정 책 개 념 으 로 서 새 로 운 수평규제의 체계를 도입할 필요가 있음이런 의견들도 있을 수 있겠지만 , 본질적으로 양립할 수 없는 권리 ( 프라이버시 등 ) 은 어떻게 해결하는 것이 좋을까 ?

강홍렬 외 (2011), 스마트 TV 와 미디어 패러다임 변화 , 정보통신정책연구원 , p. 77.

양비론의 지양

해결방안은 많되 , 가장 효과적인가 ?Domain Name System 의 보안 이슈 별 해결 방안

한국인터넷 진흥원 (2012) DNS 대피소 모델 연구 , p. 27, 표 2-3

인터넷 트래픽 관리 ,반드시 해야할 관리와

관리 효율보다 Side Effect 가 크다면 ?네트워크 운영자 , 인터넷 서비스 제공자가 네트워크 혼잡시 전체 트래픽을 효율적으로 관리하거나 적정 서비스 품질을 보장하기 위해 트래픽을 제한 , 특정 트래픽에 대해 우선권을 부여하는 등의 활동일반적인 인터넷 데이터 처리 방식인 ‘ first in first out’, ‘Best effort’ 방식이 아닌 데이터 패킷의 출발지 , 목적지 , 애플리케이션 타입 , 이용단말 등에 따라 전송 품질을 차등하는 관리 기법망중립성이 훼손되면 , 프라이버시는 ? 데이터 보안은 ?

김정희 (2011), 인터넷 트래픽 관리 , 인터넷 & 시큐리티 이슈 , 한국인터넷진흥원 , p. 31.

1-7 중 어느 수준의 관리가 적정한가 ?

김정희 (2011), 인터넷 트래픽 관리 , 인터넷 & 시큐리티 이슈 , 한국인터넷진흥원 , p. 31.

2 장 . 네트워크에 대해 생각해봅니다 .

OSI 7 Layer 와 각 레이어 별 프로토콜

http://cfile28.uf.tistory.com/image/1177E2034BCFAC496473CA ( 검색어 :2012.08)

Ethernet

- 어떤 네트워크 장비를 사용하느냐에 따라 랜카드부터 모든 네트워크 장비를 다르게 구입- 이너넷의 CSMACD(carrier Sense Multiple Access/Collision Detection) 라는 통신 방식사용

이 방식은 ‘대충 알아서 눈치로 통신하자’ 임 Carrier Sense; 캐리어가 감지되면 , 정보를 보내지 않고 대기

만약 대기하던 두 PC 에서 정보를 동시에 보내면 다중접근 (Multiple Access) 라 함 따라서 충돌 감지를 위해 CS 가 필요

충돌을 감지하면 , 랜덤한 시간을 기다린 후 다시 전송 통상 15 회 충돌 후 다시 보내다가 포기

우리나라의 네트워킹 방식의 90% 이상이 이너넷 방식 ( 다른 방식 ; 토큰링 , FDDI, ATM 방식 )

이너넷 캐이블

http://100.daum.net/encyclopedia/view.do?docid=b17a3087n9 ( 검색일 :2012.08.)진강훈 (2006), 시스코 네트워킹 , 사이버출판사 , pp. 23-26

Ethernet

김현우 (2006), 100Gbps 이더넷 기술의 최신동향 , 모니터링분석 , 한국과학기술정보연구원 , p. 2.

IEEE802.3 규격은 IP 패킷 등 가변길이 데이터패킷을 운반하는 프레임 형식과 속도나 매체별 적정신호 변환방식 ( 물리층 ) 을 규정한다 .

Cable

RJ-45 커넥터 외 장비

http://thesever.tistory.com/location ( 검색일 :2012.08.)

데이터 케이블 , 허브 등을 Physical Layer 이고 통신단위는 비트이고 이 계층에서는 데이터가 무엇인지 , 어떤 에러가 있는지 , 어떻게 보내는 것이 효과적인지를 알 수가 없습니다 . 즉 DPI 와 무관하다고 일단 보시면 이해가 쉽겠네요 .

Media Access Control

http://www.cisco.com/warp/public/cc/techno/lnty/etty/ggetty/tech/gigbt_tc/gigbt_t2.jpg ( 검색일 :2012.08.)

MAC 은 48Bit(6octet=옥테트 , 도레미파솔라시도 =옥타브 ) 로 랜카드 , 라우터 등 모든 디바이스에 유일한 MAC 주소를 갖습니다 . IP 주소를 MAC 주소로 바꾸는 과정을 ARP(address Resolution Protocol)이라합니다 .

Media Access Control

http://cfile28.uf.tistory.com/image/1177E2034BCFAC496473CA ( 검색어 :2012.08)

맥 주소가 있으면 , IP 주소가 필요없는 걸까요 ?

Data Link 계층의 MAC 부터 Network 계층의 IP, Transport 계층의 TCP, Application 계층의 Data 까지 패킷 중 MAC pro-tocol

TCP/IP protocol, 패킷 구조체

http://helloworld.naver.com/helloworld/47667

IP protocol, 패킷 구조

http://cfile28.uf.tistory.com/image/1177E2034BCFAC496473CA ( 검색어 :2012.08)

version : 버전 Header length : IP header 의 길이

Type of Service(TOS) : 서비스의 종류 (FTP, DNS.....)

total length : 패킷 전체의 길이 Identification : 16bit 로 각각의 datagram 을 구분 Fragmentation offset : 분절에 대한 offset

Time to live(TTL) : 패킷의 생존시간 Protocol : 프로토콜

Header checksum : 오류검출 Source IP address : 32bit 로 데이터를 보내는 주소

Destination IP address : 32bit 로 데이터를 받는 주소

http://k.daum.net/qna/openknowledge/view.html?category_id=QC&qid=0ZUFh&q=data+offset&srchid=NKS0ZUFh( 검색어 :2012.08)

TCP protocol, 패킷 구조

Source Port : 소스 포트 번호 Destination Port : 목적지 포트 번호

Sequence number : 패킷의 첫 번째 바이트의 일련번호 Acknowledgment number : 수신될 다음번 바이트의 예상 일련번호

Data Offset : 패킷내의 데이터 오프셋 Control Bits :

URG : 긴급 포인터 ACK : 승인

PSH : 푸쉬 기능 RST : 접속의 리셋

SYN : 동기화 일련번호 FIN : 송신자로부터 더 이상의 데이터 없음

Window : 송신자의 윈도우 사이즈 Checksum : 헤더와 데이터의 TCP 체크섬값

Urgent Pointer : TCP 긴급 포인터 Options : TCP 옵션들

*SEG_SEQ : 패킷의 일련번호 *SEG_ACK : 패킷의 확인번호

*SEG_FLAG : 제어 비트

3 장 . DPI 작동 원리를 살펴봅니다 .

실 세계에 DPI • Network Visibility (The key for understanding how

bandwidth is utilized)– Which application?– Which user?– When? Where?

• Traffic Management (Application Control)– Block– Shape (limit, QoS, QoE)

• Service Management (Subscriber Control)– Associate connection (IP X.Y.Z.W) with a user and

its service use policy

Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt

Analysis by Port

• Reasoning:– Many applications and protocols use a default

port• Example: email

– Incoming POP3: 110 (995 if using SSL)– Outgoing SMTP: 25

• The Good - It’s easy, The Bad - It’s too easy– Many applications disguise themselves (e.g.,

Port 80)– Port hopping large range, overlapping apps

Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt

Analysis by String Match

• Reasoning:– Many applications have pure textual

identifiers• Easy to search for

– Very easy if in a specific location within a packet

• Uniqueness not always guaranteed

Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt

String Match Example

Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt

서비스 특유의 패턴을 라이브러리에 저장하여 비교 분석함

Analysis by Numerical Proper-ties

• Property is not only content:– Packet size– Payload/message length– Position within packet

• In some cases sparse and spread over several packets

Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt

35 8A 27 7F

15 82 98 71

A5 80 72 7F

95 88 8A 7F

Connection #1

Connection #2

Connection #3

Connection #4

Example: Sparse MatchIdentifying John Doe Protocol

Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt

Skype (Older Versions): Finding a TCP Connection

18 byte message

11 byte message

23 byte message

Either 18, 51 or 53 byte message

Client ServerUDP Messages

N+8

N+8+5

Evolution

Jay Klein(2007), Digging Deeper Into DPI Network Visibility & Service Management, AllOt

신호처리 ;SIP(Session Initiation Protocol)미디어처리 ;RTP/RTCP(Real Time Protocol)

나성현 외 (2011), 모바일 인터넷전화가 이동통신시장의 진화에 미치는 영향 , 정보통신정책연구원 , p. 33, 그림 2-4

G 7.11코덱은 압축 없이 음성을 디지털 신호로 변환mVoIP 애플리케이션의 대부분이 G.711 코덱 사용CPU 부하량 적고 데이터 소모량 높음

신호처리 ;SIP(Session Initiation Protocol)미디어처리 ;RTP/RTCP(Real Time Protocol)

나성현 외 (2011), 모바일 인터넷전화가 이동통신시장의 진화에 미치는 영향 , 정보통신정책연구원 , p. 36, 그림 2-6

WiFi VoIP, WiMAX VoIP, 3G VoIP, 4G(WiMAX LTE) VoIP 중 WiFi VoIP 가 많이 활용

PI (Packet Inspection) 의 구분

SPI(shallow packet

inspection)(stateful packet

inspection)

DPI 심층 패킷 분석

1 계층 ( 물리계층 ) 에서4 계층 ( 전송계층 ,

TCP/UDP) 까지 분석5 계층 (세션 계측 ) 에서 7 계층 ( 응용계층 ) 까지

분석따라서 DPI 는 패킷의 내용까지 보게 된다 .

박희영 (2011), DPI 기술의 운영과 ISP 의 형사책임 , Internet and Information Security, 한국인터넷진흥원 , p. 107. 정리하여 재구성결국 , DPI 기술은 데이터 보호와 프라이버시 이슈 야기 (김정희 , 2011)

DPI 처리 프로세스

Packet 를 주문형반도체로 처리하여 빠르게 하든 C++ 로 구현된 소프트웨어로 처리하든

1 단계 DPI 처리에서 DPI 라이브러리를 참조하여 Packet 를 추출하고2 단계 DPI 처리에서 Payload 까지 심도있는 분석을 할 수 있다 .

김학서 (2011), DPI 기반 응용 인지 기술 , 한국전자통신연구원 , p. 3.

인터넷 트래픽 측정 시스템

IP 를 통해 전송되는 주요 인터넷 트래픽으로는 TCP, UDP, ICMP 등이 있으며 , 응용 관점의 트래픽으로는 TELNET, FTP, HTTP, SMTP, SNMP, RPC, RTP, RTCP 등이 있다 .

현재 발생되는 트래픽을 최적으로 서비스 할 수 있는 라우팅 정책 , 라우터의 스케줄링 기법 그리고 라우터의 버퍼 관리 기법 등을 선택할 수 있다 .http://www.itdaily.kr/news/articleView.html?idxno=20157# ( 검색일 :2012.08.)임성준 , 인터넷 트래픽 측정 시스템 , 한국과학기술정보연구원 , p. 1.

수동적인 방법

분리기 (Splitter) 를 이용하는 방법으로 ATM 스위치 같은 네트워크 노드 (Network node) 사이의 링크에 분리기를 연결시켜서 두 네트워크 노드 사이를 통과하는 패킷을 복사해서 Passive monitor 에게 넘겨주어 그 네트워크 노드 사이를 통과하는 트래픽 종류와 양을 파악할 수 있다 .

라우터 같은 네트워크 노드를 통해 지나간 패킷들의 종류와 양에 대한 통계적인 정보를 제공하는 패킷을 이용하는 방법으로 이 패킷을 주기적으로 Control Information Collector 에게 전달하고 ,Collector 는 전달받은 통계 정보를 통해 네트워크 노드의 특정 네트워크 인터페이스를 통해 출입한트래픽의 종류와 양을 파악할 수 있게 한다 .

임성준 , 인터넷 트래픽 측정 시스템 , 한국과학기술정보연구원 , pp. 1-2.

능동적인 방법

능동적인 측정은 종단 호스트인 Active monitor 가 측정 패킷(Measurement packet) 을 주 기 적 이 거 나 랜 덤 하 게 네트워크에 투입하여 그 측정 패킷이 측정구간의 두 Active monitor 사이에서 지연되는 시간과 손실되는 정도를 측정하여 그 구간의 네트워크 상태를 파악할 수 있게 한다 .

임성준 , 인터넷 트래픽 측정 시스템 , 한국과학기술정보연구원 , pp. 1-2.

측정구조

DPI (Deep Packet Inspection)

참조 :http://www.edecision4u.com/Deep%20Packet%20Inspection%20Reconstruction.html ( 검색일 :2012.05.28)

스팸 , 봇넷 , 디도스 , 해킹 등으로 인하여 더 이상 현재의 인터넷으로는 제대로 사회적 기능을 수행할 수 없다 .(“internet is broken”)…망중립성의 실패… . 경제적 , 사회적 문제도 적지 않다 . (김민중 (2011), 미래인터넷에서 콘텐츠의 보호와 관련한 이슈에 대한 검토 , 전북대 법학연구 , 32, p.50)

그림 참조 : http://www.cisco.com/en/US/docs/ios/12_2/qos/configuration/guide/qcfpolsh.html#wp1001194(2012.05.28)글참조 : 김성찬 외 (2008), 망중립성의 배경 및 이론의 이해 , 정보통신정책연구 15(1), p 101.

시스코 라우팅 중 대역 제어 (traffic shaping)

데이터가 그 중요도나 송 , 수신인이 누구인가와 무관하게 선입선출 (FIFO: first-in-first-out) 방식에 의해 동등하게 취급되는 평등성은 인터넷의 핵심 , 그러나 이 원칙을 지칠 수 없는 경우는 ?

트래픽 오프로딩 (Traffic offloading)

그림 참조 : http://www.ccpu.com/wp-content/uploads/diagram-article-offloadvsshapingfig5.jpg (2012.05.28)

DPI 기술의 발전으로 인해 패킷이 담고 있는 데이터의 헤더뿐 아니라 내용도 분석이러한 분석을 바탕으로 패킷들의 전송 순위를 정하거나특정 패킷을 차단할 수 있게 된 것(박상인 (2011), 망중립성 규제 , 정책연구동향 3, p.27)

폴링 방식이란 전송제어 방식의 하나로 , 어떤 프로그램이나 장치들이 이와 연결된 다른 프로그램이나 장치가 어떠한 상태에 있는지를 지속적으로 체크하는 것을 말한다 .최종원 , 김지현 (2011), 망사업자에 의한 SNS 차단의 정당성과 규제가능성 연구 , PNU School of Law, p.436.

폴링 (Polling) 방식

참조 : http://www.neoseeker.com/news/9965-google-amazon-and-more-trying-to-ban-canadas-traffic-shaping/

과연… .. 그럴까 ?

DPI(Deep Packet Inspection) 기 술 은 종래 LAN direct 트 래 픽 을 효율적 으 로 운영하도록 돕거나 보안 리스크를 없애기 위한 기술로 개발되었다 . DPI 는 패킷 헤더에서 제공되지 않았던 추가적인 트래픽 정보를 제공해 줄 뿐만 아니라 , 데이터의 내용을 키워드로 선별하여 패킷을 트래킹 , 필터링 , 차단하는 것까지 가능하게 한다 . DPI 를 활용하면 신상 , Billing 정보 등의 DB 를 축적하여 정보 맵을 구축하는 것도 가능하다 .황주연 (2011), 유럽에서의 망 중립성 논의 동향 , 23(6), p.7. http://www.hill2dot0.com/wiki/index.php?title=Generic_traffic_shaping

과연… .. 그럴까 ?

유럽의 경우 , “통신사업자들과 설비 제조업자들은 DPI 기술이 트래픽 관리행위를 위한 필수적인 전제조건은 아니라는 입장을 보였다 .”

유선과 무선 네트워크 간에 동일한 트래픽 관리행위 원칙이 적용되어야 하며 , EU 프레임워크는 기술중립적 (technology-neutral) 인 상태로 남아 있어야 한다는 의견이 많았다 .황주연 (2011), 유럽에서의 망 중립성 논의 동향 , pp. 12-13http://stopusagebasedbilling.wordpress.com/2009/10/28/c-deep-packet-inspection/

과연… .. 그럴까 ?

WiFi-Station 통신

마지막 장 . 되새김질과 생각의 여백

잘 이해하셨는지 확인해보겠습니다 .1. 아래 그림 중 DPI 는 무엇을 보는 장비인가요 ?2. 아래 그림 중 SPI 는 어느 계층을 보는 장비일까요 ?

참조 : http://www.c-sharpcorner.com/UploadFile/898089/concept-of-open-systems-interconnection-osi-model-in-netwo/Images/Osi-model-jb.png ( 검색일 :2012.08)

시작하며 던진 화두

DPI, 우리가 용인해야 할 범위는 어디까지 일까요 ?

redsea@dongguk.ac.krmooknc@gmail.com 다음 내용은 참조입니다 .시간이 허락되면 설명이 더해집니다 .이미지 참조-http://www.slideshare.net/brandhoony/age-of-participation( 검색일 :2012.04.16)

참조는 각 슬라이드의 아래 부분 또는 슬라이드 노트에 기술하였습니다 .

각 슬라이드의 이미지 참조

참조 : http://cfs16.tistory.com/image/10/tistory/2010/12/14/09/13/4d06b6b00ee94 (2012.08.)

Managing traffic with scavenger class

http://www.cdg.org/resources/files/white_papers/Traffic_Mgmt_and_Offload_White_Paper_Jan2011_v2.pdf ( 검색일 :2012.05.28)

Preserving certain applications’ performance during high load by scavenger class

http://www.slideshare.net/allabout4g/traffic-management-strategies-for-operators( 검색일 :2012.05.28)

Packet Filtering• Should arriving packet be allowed in?

Should a departing packet be let out?• Filter packet-by-packet, making decisions

to forward/drop a packet based on:– source IP address, destination IP address– TCP/UDP source and destination port numbers– ICMP message type– TCP SYN and ACK bits– ...

참조 : http://www.docstoc.com/docs/88005679/PMpacketFiltering( 검색일 :2012.05.28.)

IPv6, 사물간 통신

참조 : http://navercast.naver.com/contents.nhn?contents_id=4765

IPv6 체제가 일반화되면 세탁기 , 냉장고 , 화장실 변기 , 그릇 각 각에도 고유한 식별 주소를 부여할 수 있다 . 주소를 부여한다는 것은 정보를 주고받을 수 있게 하기 위해서이다 . IPv4 에서 망중립성이 훼손되면 개인 수준의 서비스 내용과 주소가 위협받지만 , IPv6에서는 개인이 사용하는 숟가락 , 젓가락 하나하나의 데이터 내용까지도 망 사업자가 볼 수 있는 위협에 쳐하게 된다 .