Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties
Submitter: Guido.

Procera Networks heeft nieuwe hardware gepresenteerd dat met een snelheid tot 80Gb/s deep packet inspection op netwerkverkeer in realtime toepast. Het topmodel is de Packetlogic PL10000 dat 800.000 dollar kost, en gericht is op tier-1-isp's.

De PL10000 biedt plaats aan 5 10Gb- en tot 9 1Gb-kanalen en kan tot 48 miljoen verbindingen gelijktijdig verwerken. Alle servers van Procera zijn met de zelfontwikkelde 'Datastream Recognition Definition Language'-engine uitgerust, die het mogelijk maakt om netwerkverkeer te identificeren en te classificeren. Het bedrijf heeft verder ook een kleiner model van de PL10000 in het assortiment voor bedrijven en netwerkproviders. De PL5600, de PL7600 en de PL7620 kunnen op een snelheid van 4Mb/s tot 4GB/s het netwerkverkeer onderzoeken. Het topmodel is echter voorbehouden aan tier-1-isp's, netwerkproviders die via peering met andere providers zijn gekoppeld, maar die geen dataverkeer bij andere providers inkoopt. Volgens Procera kan de nieuwe apparatuur het netwerkverkeer met een nauwkeurigheid tot 96 procent onderzoeken. Prijzen voor de nieuwe hardware beginnen bij 7000 dollar.

De software die bij de apparatuur van Procera wordt geleverd, kan verschillende uitgebreide overzichten en statistieken van het bijgehouden netwerkverkeer genereren. Zo kan van elk ip-adres het dataverkeer en het aantal verbindingen worden ingezien. Verder kan worden bekeken welke protocollen het meest gebruikt worden en hoeveel dataverkeer deze opsnoepen. Verder houdt de software bij welke protocollen door welke ip-adressen zijn gebruikt en welke ip-adressen door welke protocollen zijn geraadpleegd.

Deep packet inspection maakt het mogelijk om de data en de header van packets die over het netwerk worden verstuurd, te onderzoeken. De uitgelezen gegevens van de packets bevatten informatie over waar het pakket vandaan komt, waar het naartoe gaat en wat voor soort informatie verstuurd wordt. Internetserviceproviders kunnen met behulp van dpi bekijken welke programma's en protocollen die door klanten gebruikt worden, het grootste aandeel hebben in het bandbreedtegebruik en het meeste dataverkeer verbruiken.

De verdere ontwikkeling van dpi zet de deur voor het op isp-niveau toewijzen van dataverkeer verder open. Internetproviders kunnen met dpi in realtime statistieken van het netwerkverkeer opvragen en op bepaalde momenten de voorkeur geven aan bijvoorbeeld gameverkeer, terwijl op hetzelfde moment p2p-verkeer vertraagd wordt.

Dit soort bandbreedtebeheer heeft overigens al heel wat stof doen opwaaien: zo werd Comcast verdacht van het tegenhouden en vertragen van p2p-verkeer en gaf een Canadese provider aan dat tijdens piekuren p2p-verkeer werd geknepen.

Moderatie-faq Wijzig weergave

Reacties (49)

net-neutraliteit gaat pas spelen op het moment dat isp's QoS levels marktwaarde geven en dit ook als product aanbieden.

een andere vraag is wat de isp's met de logbestanden doen van deze apparaten afgezien van gebruiken voor statische doeleinden. Google weet ook meer van mij dan mij lief is maar daar heb ik me voor aangemeld, isp's weten blijkbaar nog veel meer en daar heb ik nooit voor getekend. Ik heb nooit ergens gezien in een contract dat zegt dat een isp deep packet inspection mag uitvoeren op mijn verkeer.
Moeten we isp's op hun woord geloven dat ze deep packet inspection alleen gebruiken voor QoS?
"de ISP behoud zich het recht voor om onderzoek te doen naar verkeerstrends in haar netwerk en daarop te reageren".

of de wat meer standaard clausule dat de ISP het recht reserveert alles te doen om de kwaliteit van het netwerk te waarborgen.

Vooral die tweede is heel nuttig, want in weze kun je er alles mee. En zo'n regel staat bij de gemiddelde ISP al jaren in de Algemene Voorwaarden waarmee iedere klant akkoord is gegaan. :)

[Reactie gewijzigd door arjankoole op 14 mei 2008 07:19]

Als ik dit zo lees vraag ik me af, hoe legaal is het om alle gegevens die langs komen te bestuderen? Stel je voor dat KPN oid alle telefoontjes van iedereens onthield en bijvoorbeeld telefoontjes naar het midden-oosten eruit knipt onder het mom van terrorisme bestrijding, of naar een bepaalde provider omdat ze concurentie tegen willen gaan..
Vergelijking is niet helemaal perfect, maar toch.

Hoe grijs is dit gebied? Net zo grijs als downloaden?

@pinkelmans: wat darktemple zegt ;).
@theeck: dat het gebeurt wil nog niet zeggen dat je er nu geen vraagtekens bij kan zetten.

[Reactie gewijzigd door namnatulco op 14 mei 2008 23:47]

Hallo,

Wat geeft je de illusie dat dat niet al gebeurd? Technieken zijn allen geimplementeerd in alle telefoon centrales.
volgens mij onthoudt KPN dat ook, aangezien je een geruime tijd terug je rekening in kan zien, inclusief alle gebelde nummers en duur? ;)
Nee, niet. KPN "onthoudt" inderdaad welk nummer gebled is, maar luistert NIET naar de inhoud ervan, althans dat zouden ze iet zomaar mogen.
Voor de duidelijkheid; dergelijke systemen vertragen de verbindingen niet tijdens het analyseren. Meestal luisteren deze systemen mee op een glas-fiber lijntje. Dit meeluisteren is mogelijk door middel van een passief apparaatje met een prisma welke het licht-signaal splitst in een 30% en 70% deel. Het 30% gedeelte gaat de speciale netwerk kaarten in, de overige 70% van het licht verder de (core) routers in.

Na de analyse komen ze er daarna achter dat er bepaald (ongewenst) verkeer niet in verhouding is met het overige verkeer, en stellen ze de (core) routers opnieuw in. Pas daarna komen vertragingen...
prisma? is dat niet nodeloos ingewikkeld, is het niet eenvoudiger te tappen bij een repeater?
Het tegenovergestelde van ingewikkeld. Een repeater voegt echter een klein beetje latency toe, en zijn zeer kostbaar voor 40gb verbindingen. Een splitter is een passief kastje met 1 ingang, en twee uitgangen en vertraagt niks, neem bijna geen ruimte in, en verbruikt geen stroom! Lekker simpel dus...

Ook hangt het af waar je wil tappen, meestal staat de router (of repeater) achter slot en grendel (want die is van de provider) en heb je enkel het uiteinde van een Fiber...
Nou jongens... Deep-packet inspect erop los zou ik zeggen. Lang leve SSH (en dan niet de Debian implementatie :P)

Serieus. Dit is op zich een pracht-ontwikkeling. Nu kunnen ISP's op nog hogere snelheden toch het verkeer in de gaten houden zodat dát in ieder geval geen bezwaar hoeft te zijn om de snelheden omhoog te gooien.

Voor de mensen die over 'net neutrality' beginnen: denk eens na. Hoe wil je zorgen dat bijvoorbeeld je HTTP verkeer het fatsoenlijk blijft doen? Juist ja.
Zorgen dat je http verkeer het netjes blijft doen is Quality of Service en heeft niets te maken met Net neutrality.

Quality of service wil zeggen dat je onderscheid maakt op het soort verkeer. bijvoorbeeld, http krijgt voorrang boven p2p, maar voip krijgt weer voorrang boven beiden. Dat is duidelijk een zinnig iets als het druk is op het netwerk.
Net neutrality gaat niet over soorten verkeer maar over wie met wie communiceert. Dus bijvoorbeeld voip verkeer van voip aanbieder A met voorrang behandelen en die van aanbieder B niet (of die zelfs een extra lage prioriteit geven) is een voorbeeld van niet net neutraal zijn. Dat is duidelijk geen wenselijke zaak. Overigens zijn er uiteraard ook mensen die daar anders over denken, maar dat is een ander verhaal.

Zorgwekkender is het privacy aspect. Met dergelijke apparaten kan een ISP in principe een compleet internet profiel van zijn gebruikers opbouwen. Zolang die dingen erg duur zijn is dat niet zo'n probleem, maar nu ze steeds goedkoper worden wel.

En ja, je kunt gaan encrypten, dan kunnen ze niet meer zien wat je communiceert, en ik vind ook dat eigenlijk alles geencrypt zou moeten worden, gewoon als principiele veiligheids maatregel. Maar zelfs dan kunnen ze nog steeds zien met wie je communiceert. Dat is ook gevoelige informatie.

edit, voor mensen die denken door encryptie ervoor te zorgen dat de ISP's hun p2p niet meer herkennen, dankzij dit soort apparaten kunnen ISP's dat wel.
Een p2p applicatie bouwt namelijk heel veel verbindingen op naar "willekeurige" andere IP addressen. Er is geen enkele ander applicatie soort die dat doet. Een ISP kan dus simpelweg AL het geencrypte verkeer van een op die manier geidentificeerde klant vertragen. Dat is dan jammer voor je telebanking en je VPN naar je werk :-)

[Reactie gewijzigd door locke960 op 13 mei 2008 21:32]

Procera claimed zelfs in staat te zijn om ge-encrypte data te kunnen identifyen waarvoor het gebruikt wordt. Maw het encrypten van BT zal niets uithalen echter je bankzaken zullen hier geen last van ondervinden. Tevens claimed Procera veel effecienter in staat te zijn data te analyseren met minder vertrangen dan 'andere' oplossingen. Beetje ruime optiek natuurlijk maar in zijn totaliteit klinkt het naar een uitermate geavanceerde oplossing die zelfs in staat is om specifieke hits van clienten bij te houden, iets waar ieder dictatuur wel van gaat kwijlen.
Zie specs
en meer info over hun aanpak van analyseren.
---edit---
@era.zer, laten we ervan uitgaan dat apparaten die een zeer respectabel bedrag waarna gekeken wordt door specialisten in dat veld dat ze die gaan beduvelen met hun reclame? Lijkt me niet het geval, men is zoals ook in de links wordt aangegeven in staat de data ondanks encryptie juist in staat te bestempelen dankzij het gedrag. Hoe het zich verbindt, en met welke poorten om te bepalen wat het is.

[Reactie gewijzigd door n4m3l355 op 14 mei 2008 12:26]

Laat me niet lachen?
Goed geencrypteerde data ziet eruit als random data :)
Het formaat en de gedragingen van de pakketjes, daarentegen, is niet willekeurig.

De data zelf mag onleesbaar zijn, de metadata(?) is nog steeds analyseerbaar.
SSL verkeer is vrij uniform. Het wordt nl op socket niveau geencrypt en gedecrypt.
Dus je kan aan een SSL stream niet zien of het HTTPS, SSH of wat dan ook getunnelt is.

Inderdaad, als je kortstondige SSL communicatie ziet, kun je er vanuit gaan dat het HTTPS is. Als je een langdurige stream van SSL ziet, met lage bandbreedte, kun je er vanuit gaan dat het SSH is. Maar daar blijft het dan ook bij. Een SSL VPN kun je niets mee bijvoorbeeld.
@Rune
SSL VPN valt eigenlijk niet zo moeilijk te achterhalen juist door zijn gedrag, het maakt 1 enkele verbinding op 1 vaste poort en maakt een standaard communicatie opzet in de eerste instantie. Juist al deze individuele eigenschappen qua handshakes, data afmetingen enz maakt het goed mogelijk om te bepalen wat voor data het is, maar moeilijker wat de data zelf is.
Juist hierdoor zal een SSL BT verbinding niets uithalen aangezien deze kortstondig veel verbindingen aangaat vanaf een tracker, iets wat vrij eenvoudig te herkennen is ondanks dat je niet kunt zien wat de data zelf is. Iets wat ook te lezen is in de documentatie van Procera. Overigens heb ik een flauw vermoeden dat hetgeen wat ik weet zeer oppervlakkig is en dat de mannen van Procera wel goed weten waar ze over praten, en als zij denken ge-encrypte data te kunnen identificeren, dat ze dit ook kunnen doen. Uiteindelijk gaat niet iemand handen vol met geld neerleggen voor een product die niet zijn beloftes waar kan maken. Procera is geen nieuwe in dit veld.
Kan aan mij liggen maar traffic shaping is niets nieuws. Men kan al VoIP packages voorrang geven via de Qos op hardware niveau enz. Dus het shapen mbt verschillende protocollen is niets nieuws. En hier zal HTTP of welk ander protocol door welk toedoen absoluut niet onder lijden aangezien men dit al sinds jaar en dag reguleert. Er is echter wel een wezenlijk verschil wanneer een isp bedenkt om een bepaalt protocol te ontregelen door bv foutieve headers toe te voegen met opzet om zo deze de kop in te drukken. Hier heb je dus ook geen Procera voor nodig.
Wat ik denk en dat komt niet zo duidelijk voort uit deze nieuws bulletin dat men op een gedetailleerder niveau in staat is te vertellen wat jij precies doet. Wat jij download is namelijk aan de hand van een beetje data en het vergelijken van hatches mogelijk echter erg intensief, en ik vermoed.. ik kan het helaas nergens terugvinden.. dat Procera dit realiseert mbv een plugin bv. En of dat een prachtontwikkeling is? Een isp die kan beslissen welke data jij precies wel mag hebben, en welke niet. Een anarchist cookbook, een mp3'tje.. of wat dan ook, ik weet niet zo net of dat een prachtontwikkeling is.

[Reactie gewijzigd door n4m3l355 op 13 mei 2008 21:38]

Hier wordt vanzelf weer op ingespeeld door handige mensen, die maken programma's straks zo, dat het bv VOIP verkeer lijkt terwijl je een mp3 download.
Grappig dat je over HTTP-verkeer begint, want dat is namelijk iets wat je geen hogere QoS wil geven, zeker niet t.o.v. het door jou genoemde SSH. SSH is namelijk een applicatie die realtime werkt, ergo een toetsaanslag gaat van client naar server en van server naar client, terwijl bij HTTP het minder belangrijk is of een paar bytes een paar seconden eerder of later aankomen.
Ik denk dat je het één en het ander door elkaar haalt. De snelheden gaat niet omlaag doordat inspecteren veel tijd kost, nee de snelheden gaan omlaag om ander verkeer prioriteit te geven. De snelheid van het netwerkverkeer gaat met deze hardware dus niet omhoog.

En op je tweede argument: meer bandbreedte inkopen.
In theorie wel, maar in praktijk willen juist de ISPs die aan verregaande prioritisering doen ook bezuinigen op aankoop van dit soort bakken. Daardoor kan de packet inspection hardware zelf ook al een bottleneck gaan vormen :X
Ja 800 000 dollar voor 1 zo een toestel.. nu vraag ik me af hoeveel bandwith ze hier mee kunnen kopen ....
En als bedrijf wil je dingen redundant hebben.. dus reken maar uit!
die bakken zijn bedoeld voor Tier 1, zij kunnen geen bandbreedte kopen.
Enkel bij leggen.

En door de snelheid van hun zeg maar tier 1 router te verhogen, kunnen ze met de zelfde infra hogere snelheden leveren.

die bedrijven hebben niet de bandbreedte van zeg bvb een Belgacom of KPN nodig, maar de bandbreedte van én Belgacom én KNP én Dommel én Telenet én ...

@hieronder
Het is zelf gemakkelijk omgekeerd te zeggen : schakel de Http wat lager, dat komt ook goed door en geef de grote stromen meer voorrang.
of je web pagina nu in 1sec of 0.1sec of 5sec geladen is, niemand zal klagen.
VoiP en streams wel.
Zelfs download op 90% zetten zal niemand merken en nog nooit de oorzaak kunnen aantonen.
Goh, denk je nou echt, dat ze dan data, waar ze niet van weten wat het is, voorrang blijven geven??
Das toch veel makkelijker om dat lagere prioriteit te geven.

Je weet het niet :D
Sorry, maar wat bedoel je met:
(en dan niet de Debian implementatie :P ) ?
Mss sarcastisch bedoeld, maar voor diegenen die het 'echt' niet weten kan je hier lezen waarom.
De postwet verbiedt PTT/TNT of postbodes post open te maken en te bekijken. Waarom geldt de postwet niet voor digitale post?
omdat digitale post niet de juridische status heeft van echte post. (als in: geen enkele juridische status, dus je kunt er ook geen enkel recht aan ontlenen, daarom zijn al die kilometers lange disclaimers onderaan e-mail ook zo'n onzin).

Daarnaast geld op het netwerk van een ISP nog altijd: our network, our rules. Het is een privaat netwerk, aangelegd met eigen middelen. Daar heeft de wet maar weinig over te zeggen. (alhoewel je natuurlijk niet de wetgeving mag overtreden).

Ik mag als ISP op m'n eigen netwerk makkelijk zeggen: je mag geen spam versturen. Terwijl de nederlandse wet misschien heel wat vrijer is op dat gebied. Dat recht heb je, en ik vind ook dat iedere verantwoordelijke ISP dat recht moet uitoefenen.

Maar boven alles: je kunt dit niet vergelijken met iemand die je post leest, dit is eerder te vergelijken met de douane die je bagage door de rontgenmachine haalt om te kijken of er kwalijke zaken tussen zitten. (kwalijk kan ook verstorend netwerk verkeer zijn, maar dat hangt van de perceptie van de ISP in kwestie af natuurlijk).
Ik koop bij mijn isp BANDBREEDTE in (10Mb oid). Waar ik die aan besteedt is MIJN zaak !
En als mijn isp nu bepaalde packets uit mijn dataverkeer bewust gaat knijpen omdat dit soort verkeer hem niet bevalt, pleegt de isp in mijn ogen contractbreuk of zelfs oplichting, omdat ik niet de bandbreedte meer krijg waar ik volgens mijn overeenkomst voor betaal en dus ook recht op zou hebben.

Dit heeft niets met NET-neutraliteit te maken. SPONG of MOSCOVIZ kom er maar in !

[Reactie gewijzigd door schuco op 13 mei 2008 22:14]

Klopt helemaal als jij zegt "maak ik wel uit waar ik mijn bandbreedte aan besteed."
Maar als je ook de algemene voorwaarden eens goed doorleest zal je zien dat ze dit NOOIT garanderen.
Om 1 heel simpele reden: ze zijn afhankelijk van anderen
Verder behouden providers zich ten aller tijden het recht voor om verkeer te beperken.
(hoe breed dat begrip ook mag zijn)
Je hebt anders ook altijd nog de mogelijk om over te stappen naar een andere provider.

Je kan misschien wel een 1:1 overboeking op je lijn krijgen ipv 40:1 die volledig vrij is, maar daar betaal je dan ook geen 24,95/mnd voor.
Tenzij je de functionaliteit en kwaliteit schriftelijk bent overeengekomen anders dan in de algemene voorwaarden is vermeld kan je klagen.
In alle overige gevallen: Zie algemene voorwaarden => niet piepen, anders overstappen!
Maar jij hebt het nu over de HELE bandbreedte die (omdat die gedeeld moet worden met de buren), en niet over specifieke invulling ervan. Oftwel mijn buurman betaald hetzelfde als ik, maar omdat hij binaries doet krijgt hij wel de volle bandbreedte en ik met P2P niet ? Als we samen op 75% uitkomen (ongeacht het TYPE verkeer) is t redelijk, want de voorwaarden zeggen niets over din INVULLING...

Maar inderdaad : ISP's zijn de groote afzetters ! Heb nooit begrepen hoe het kan dat we dit met zijn allen accepteren. Dit is eigenlijk afzetterij van de bovenste plank !
Betalen voor iets wat je mogelijk nooit hebt.....Het zou wat zijn als iedereen op deze manier zijn salaris uitbetaald krijgt .... Zo van : Als er voldoende geld is krijg je het helemaal, en anders wordt het gedeeld met de rest van de straat.....
Dat jij betaald voor je bandbreedte wil niet zeggen dat je er ALLES mee mag doen. Je zal je altijd moeten houden aan de voorwaarden van die verbinding.

Om even heel zwart/wit voorbeeld te geven:
Als ik een stuk land koop bij de gemeente mag ik daar niet zomaar olie op dumpen oid. Dat ik voor dat stuk land betaald heb wil niet zeggen dat ik er alles mee mag doen. Ik zal me altijd aan bepaalde wetten en regels moeten houden.
Ik denk dat dat ook voor je bandbreedte geldt.
Klopt, maar (ook in jou voorbeeld) moet er dan ook WETGEVING (of voorwaarden zijn), waarin staat dat datgene wat jij van plan bent te doen niet mag !
En ik kan me niet herinneren dat er in mijn contract voorwaarden staan over het TYPE data wat ik mag verzenden ...

Is hetzelfde als bestuurders van alle rode auto's in NL, ineens op alle kruispunten.
voorrang dienen te verlenen op al het andere verkeer... Mooie boel zou dat worden...
Even met z'n allen inhaken:en zwaai maar dag met je handje naar je privacy... :D

Maar iets serieuzer: aangezien er in Canada al zo'n isp is die het internetverkeer loopt te filteren, wordt het nu dus een stuk makkelijker voor isps om hetzelfde te gaan doen.
En met de afspraak van de Nederlandse isp's om voortaan kinderporno te gaan filteren wordt het dus een stuk makkelijker om te bekijken wie waar naar toe gaat... :(
"zo werd Comcast verdacht van het tegenhouden en vertragen van p2p-verkeer en gaf een Canadese provider aan dat tijdens piekuren p2p-verkeer werd geknepen."

*kuch*Telenet*kuch*

En officiëel is er niets van toegegeven, maar genoeg tests wijzen uit dat er wat vreemds gebeurt met torrent-verkeur onder andere, rond piekuren, vanaf een bepaalde online-tijd.
Sorry maar wat is daar het probleem van dat dat word geknepen ?
Als de bandbreedte beperkt word is het gewoon LOGISCH dat ander verkeer voorang krijgt.
Nee de rest moet maar langzaam surfen omdat jij en al die anderen je plat wilt leechen
torrents is gewoon illegaal, nou ja het meest dan.

Dus ik zie het probleem echt niet.....

[Reactie gewijzigd door Def!ance op 14 mei 2008 00:29]

Als ik een abbo heb van 4mbit dan heb ik toch alle recht om deze 4mbit volledig te benutten? Als iemand ander niet meer kan surfen omdat ik aan het downloaden ben, dan heeft de provider hele ander problemen.. lees capiciteits problemen. Het knijpen is dan misschien wel een oplossing, maar niet erg klantvriendelijk.

[Reactie gewijzigd door enveekaa op 14 mei 2008 08:36]

best veel geld dus om professioneel onze surfgewoontes te bekijken zonder dat we daar erg in hebben... Ik vind het maar niets, maar natuurlijk heb ik hier helemaal niets aan te zeggen en is het allemaal 'voor onze veiligheid' en voor 'terrorisme bestrijding' en dergelijke...

'k vraag me af hoeveel er zo uiteindelijk zullen worden geleverd en in hoeverre ze ook alle ISP's zullen kunnen 'bespieden'
800 000 dollar is niet zoveel voor een isp met 2 miljoen klanten hoor ;)
En dan heb je er 1, als je daar alles doorheen laat gaan zakt je bandbreedte volgens mij best wel ;)
Wellicht niet, maar voor 800.000 dollar heb je een apparaat en dan moet je hem ook nog configureren en binnen je netwerk inbouwen....
We hebben het hier over tier-1 netwerkproviders zoals Level3, die de backbones van het internet beheren, o.a. delen van het internetverkeer tussen Amerika en Europa. Die hebben juist ISP's als KPN als klant.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True