DPI技术——关键业务不卡顿的保障!
【DPI技术】本文主要是对DPI技术进行介绍,指出DPI技术在应用审计、应用路由、IPS、流量管理等方面获得广泛的应用,可以阻断外部攻击、审计用户上网行为,极大地提高了网络的安全性。并详细介绍了DPI工作原理、DPI技术优势以及DPI技术的典型应用。
1 背景
随着信息技术的飞速发展,对等网络(Peer-to-Peer,简称P2P)、流媒体、互动在线游戏和虚拟现实等新型网络业务层出不穷。在这些新兴业务中,P2P业务的流量占互联网数据流量的50%-70%,再加上其他业务流量,极大地加重了网络拥塞,影响了正常网络业务的开展和关键应用的普及。同时,P2P应用的广泛使用也给网络管理带来了极大的挑战。
为了应对新兴业务带来的带宽负载,传统的解决方案是通过简单的网络升级扩容,其弊端也是显而易见的:
● 带宽管理方面:面对不断增长的数据流量,需要不断地增加网络设备,增加硬件成本和运维成本。
● 网络运维方面:缺乏有效的技术监管手段,不能对新型业务数据进行感知和识别。
● 网络安全方面:传统的网络安全检测只能对报文进行四层检测(IP+端口),攻击者可以构造报文(将攻击信息插入到应用层)来绕开检测,从而达到攻击目的。
因此,如何深度感知互联网/移动互联网业务,提供应用级管控手段,成为运营商关注的焦点。为了解决这些问题,DPI技术应运而生。
2 DPI技术介绍
DPI(Deep Packet Inspection,深度报文检测)是一种基于报文的应用层信息对流量进行检测和控制的功能。普通报文检测只能分析报文四层以下的内容,如IP、端口、协议类型等。而DPI技术除了能对这些信息进行分析外,还增加了对应用层的分析,能够识别各种应用及其内容。当IP数据包、TCP或UDP数据流通过支持DPI技术的设备时,设备会通过深入读取报文载荷来进行重组和分析,从而识别整个应用程序的内容,然后按照设备定义的管理策略对流量进行后续处理。
正是由于其应用识别的特性,DPI技术在应用审计、应用路由、IPS、流量管理等方面获得广泛的应用,可以阻断外部攻击、审计用户上网行为,极大地提高了网络的安全性。
3 DPI工作原理
3.1 DPI检测原理
不同类型的应用通常依赖于不同的协议,而不同的协议都有其特殊的指纹,这些指纹可能是特定的端口、特定的字符串或Bit序列。这些指纹由专业的安全专家收集并整理,形成“特性库”,当DPI设备收到报文后,就会通过特征库中的特征规则对报文载荷进行匹配,最终识别出数据流所属的应用类型。
一个特征库中可能有上千条特征规则,匹配报文时,为了能够尽可能的提高报文匹配的效率,降低对报文转发性能的影响。DPI技术提出了快速匹配方法,其原理如下:
(1)先进行近似匹配:取出每条规则的最长特征串,进行最长特征串的多模AC算法匹配。根据最长特征串找到可能匹配的候选规则。
(2)再进行精确匹配:对候选规则进行单模算法的字符串匹配或者正则表达式字符串匹配。
特征码的距离固定,可以用特征库载荷规则选项进行精确特征描述,然后转化为单模算法的字符串匹配进行精确匹配。通常我们会采用改良的单模BM算法进行匹配。
特征码的距离不固定难以描述,可以用正则表达式文法描述,采用正则表达式算法进行匹配。
3.2 DPI检测流程
DPI深度检测流程如下:
(1)设备加载特征库文件。
(2) 当设备收到报文后,在协议和端口的识别基础上对报文载荷进行解码,然后通过特征库中的特征规则对载荷进行匹配,识别报文内容。
(3)根据匹配结果处理报文:
匹配成功,将报文转发给其他业务模块(如IPS、应用路由)进行后续处理等。
匹配失败,放行报文。
4 DPI技术优势
4.1 和传统四层检测比较
传统的四层检测只能识别报文二到四层的信息,如IP、端口号等。而DPI技术不仅能识别这些信息,还能识别应用层信息,识别更精细、更准确。
图4-1 DPI深度检测和传统四层检测对比
4.2 和DFI技术比较
与DPI进行报文应用层载荷的检测不同,DFI采用的是一种基于流量行为的应用识别技术。不同类型的应用,其会话连接或数据流的状态不同。例如,P2P下载应用的流量模型的特点为平均包长都在450byte以上、下载时间长、连接速率高、首选传输层协议为TCP等。DFI技术正是基于这一系列流量的行为特征,通过机器学习算法建立流量特征模型,分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比,从而鉴别应用类型。
DFI与DPI两种技术的基本目标都是为了实现应用识别,但是两者在实现的着眼点和技术细节方面又有着较大的区别,具体如表4-1所示。
| 技术类型 | 处理速度 | 维护成本 | 识别准确率 | 适用场景 |
| DPI | 较慢(逐包) | 较高(特征库维护) | 较高 | 适用于精细和准确识别、精细管理的场景 |
| DFI | 较快(逐流) | 较低 | 较低 | 适用于高效识别、粗放管理的场景 |
5 典型应用
锐捷的防火墙和出口网关系列产品已经全面支持DPI技术,本章以RG-EG3250多业务安全网关为例,介绍DPI技术在网吧场景中的使用及配置思路。
5.1 组网需求
网吧出口有1条光纤线路和多条ADSL线路,根据业务需求,要求关键应用(如游戏、网页浏览、即时通讯等)走光纤链路;抑制应用(如在线影视、P2P下载等)走ADSL线路。视频流媒体软件和HTTP视频流媒体类型等应用在午夜时间不进行抑制,可以走光纤线路。
图5-1 网吧组网需求
5.2 配置思路
● 所有的P2P应用软件、在线影视等非关键应用走ADSL线路,能够在ADSL线路充分应用带宽。
● 设置光纤线路为缺省路由,确保关键应用走光纤线路,网络流畅。
● 当出口带宽不足时,Web业务可以走ADSL线路,减少光纤的使用,为关键业务减少带宽。
相关标签:
点赞
更多技术博文
-
全调度以太网(GSE),中国智算网络新标准GSE网络作为一种全调度以太网技术,专为大规模AI训练集群设计,通过按需调度实现无损性能,提供灵活快速的部署方案,构建开放生态,显著提升智算效率和运维体验。
-
#知识百科
-
-
以太和PON,谁能更好地支撑办公室横向流量业务?了解以太彩光与PON的区别,解析办公资源共享难题,锐捷极简以太彩光方案助您高效适配办公网,共享打印无压力!
-
#交换机
-
-
场景无线 驱动高效办公!锐捷新一代企业无线办公解决方案全新发布!面对企业数智化转型中的无线办公网络挑战,锐捷新一代企业无线办公解决方案通过全场景AP、智能调度与云端智能运维等技术,实现网络性能、用户体验与运维效率的全面提升。
-
#无线网
-
#办公网
-
-
以太彩光和PON,运维管理谁技高一筹?锐捷网络提供极简以太全光方案,简化配置流程,降低学习成本,让全光网络升级更平滑。
-
#交换机
-
