Skip to content
Sunkar

Общая информация

СОРМ 2 - модуль системы оперативно-розыскных мероприятий, который отвечает за перехват данных в сети интернет.

Принцип перехвата

Section titled “Принцип перехвата”

Для перехвата нужно два модуля - пульт и сьемник.

flowchart TD
    %% ================= ZONES =================
        SW["Коммутатор"]

        subgraph RX["Сервер съемника"]

            %% -------- DATA PLANE --------
            subgraph DP["Data Plane"]
                FDPI["fastdpi"]

                subgraph VAS["VAS сервисы"]
                    OCLD["ocld (orchestrator)"]
                    SDA["sda (aggregator)"]
                    SDO["sdo (output)"]
                    SKPR["skpr (policy)"]
                    BSDS["bsds (subscriber)"]
                    DASM["dasm (analytics)"]
                end
            end

            %% -------- CONTROL PLANE --------
            subgraph CP["Control Plane"]
                S2["S2Conn"]
            end

            %% -------- TELEMETRY --------
            subgraph TP["Telemetry"]
                IPFIX["IPFIXCollector"]
            end

        end

    subgraph Z2["Сервер пульта"]
        subgraph MQ["ActiveMQ"]
            CMDQ["channel-command"]
            ANSQ["channel-answer"]
            DATAQ["channel-data"]
        end
    end

    %% ================= TRAFFIC =================
    IN["Входящий интернет трафик"] --> SW
    SW -- "mirror/SPAN" --> FDPI

    %% ================= DATA FLOW =================
    FDPI --> OCLD
    OCLD --> SDA
    OCLD --> SDO
    OCLD --> SKPR
    OCLD --> BSDS
    OCLD --> DASM

    %% ================= CONTROL FLOW =================
    CMDQ --> S2
    S2 -- "TCP (commands)" --> OCLD
    OCLD -- "TCP (events/data)" --> S2
    S2 --> ANSQ
    S2 --> DATAQ

    %% ================= TELEMETRY =================
    FDPI -- "IPFIX/NetFlow" --> IPFIX

Сьемник

Section titled “Сьемник”

Сьемник содержит в себе сервисы Vas и сервис S2Conn. Коммутатор зеркалит весь интернет трафик на сервер сьемника, откуда сервисы Vas извлекают нужный трафик и передают байты в S2Conn. Чтобы сервисы Vas понимали какой трафик искать, нужно заранее дать команды и определить IP адреса, это делается через пульт.

Контролировать сервисы Vas можно только через их конфиги, доступа к исходному коду у нас нет. Мы только можем влиять на поведение S2Conn, подробнее тут.

Пульт

Section titled “Пульт”

Пульт содержит в себе сервисы для разбора/хранения трафика. С сьемника трафик поступает в необработанном виде, работа пульта давать панель управления трафиком и видеть результат работы. Подробнее