DPI技术——关键业务不卡顿的保障！

1 背景
随着信息技术的飞速发展，对等网络（Peer-to-Peer，简称P2P）、流媒体、互动在线游戏和虚拟现实等新型网络业务层出不穷。在这些新兴业务中，P2P业务的流量占互联网数据流量的50%-70%，再加上其他业务流量，极大地加重了网络拥塞，影响了正常网络业务的开展和关键应用的普及。同时，P2P应用的广泛使用也给网络管理带来了极大的挑战。
为了应对新兴业务带来的带宽负载，传统的解决方案是通过简单的网络升级扩容，其弊端也是显而易见的：

● 带宽管理方面：面对不断增长的数据流量，需要不断地增加网络设备，增加硬件成本和运维成本。

● 网络运维方面：缺乏有效的技术监管手段，不能对新型业务数据进行感知和识别。

● 网络安全方面：传统的网络安全检测只能对报文进行四层检测（IP+端口），攻击者可以构造报文（将攻击信息插入到应用层）来绕开检测，从而达到攻击目的。

因此，如何深度感知互联网/移动互联网业务，提供应用级管控手段，成为运营商关注的焦点。为了解决这些问题，DPI技术应运而生。

2 DPI技术介绍

DPI（Deep Packet Inspection，深度报文检测）是一种基于报文的应用层信息对流量进行检测和控制的功能。普通报文检测只能分析报文四层以下的内容，如IP、端口、协议类型等。而DPI技术除了能对这些信息进行分析外，还增加了对应用层的分析，能够识别各种应用及其内容。当IP数据包、TCP或UDP数据流通过支持DPI技术的设备时，设备会通过深入读取报文载荷来进行重组和分析，从而识别整个应用程序的内容，然后按照设备定义的管理策略对流量进行后续处理。

正是由于其应用识别的特性，DPI技术在应用审计、应用路由、IPS、流量管理等方面获得广泛的应用，可以阻断外部攻击、审计用户上网行为，极大地提高了网络的安全性。

3 DPI工作原理

3.1   DPI检测原理

不同类型的应用通常依赖于不同的协议，而不同的协议都有其特殊的指纹，这些指纹可能是特定的端口、特定的字符串或Bit序列。这些指纹由专业的安全专家收集并整理，形成“特性库”，当DPI设备收到报文后，就会通过特征库中的特征规则对报文载荷进行匹配，最终识别出数据流所属的应用类型。

一个特征库中可能有上千条特征规则，匹配报文时，为了能够尽可能的提高报文匹配的效率，降低对报文转发性能的影响。DPI技术提出了快速匹配方法，其原理如下：

(1)先进行近似匹配：取出每条规则的最长特征串，进行最长特征串的多模AC算法匹配。根据最长特征串找到可能匹配的候选规则。

(2)再进行精确匹配：对候选规则进行单模算法的字符串匹配或者正则表达式字符串匹配。

特征码的距离固定，可以用特征库载荷规则选项进行精确特征描述，然后转化为单模算法的字符串匹配进行精确匹配。通常我们会采用改良的单模BM算法进行匹配。

特征码的距离不固定难以描述，可以用正则表达式文法描述，采用正则表达式算法进行匹配。

3.2   DPI检测流程

DPI深度检测流程如下：

(1)设备加载特征库文件。

(2) 当设备收到报文后，在协议和端口的识别基础上对报文载荷进行解码，然后通过特征库中的特征规则对载荷进行匹配，识别报文内容。

(3)根据匹配结果处理报文：

匹配成功，将报文转发给其他业务模块（如IPS、应用路由）进行后续处理等。

匹配失败，放行报文。

4 DPI技术优势

4.1   和传统四层检测比较

传统的四层检测只能识别报文二到四层的信息，如IP、端口号等。而DPI技术不仅能识别这些信息，还能识别应用层信息，识别更精细、更准确。

图4-1    DPI深度检测和传统四层检测对比

4.2   和DFI技术比较

与DPI进行报文应用层载荷的检测不同，DFI采用的是一种基于流量行为的应用识别技术。不同类型的应用，其会话连接或数据流的状态不同。例如，P2P下载应用的流量模型的特点为平均包长都在450byte以上、下载时间长、连接速率高、首选传输层协议为TCP等。DFI技术正是基于这一系列流量的行为特征，通过机器学习算法建立流量特征模型，分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比，从而鉴别应用类型。

DFI与DPI两种技术的基本目标都是为了实现应用识别，但是两者在实现的着眼点和技术细节方面又有着较大的区别，具体如表4-1所示。

5 典型应用

锐捷的防火墙和出口网关系列产品已经全面支持DPI技术，本章以RG-EG3250多业务安全网关为例，介绍DPI技术在网吧场景中的使用及配置思路。

5.1   组网需求

网吧出口有1条光纤线路和多条ADSL线路，根据业务需求，要求关键应用（如游戏、网页浏览、即时通讯等）走光纤链路；抑制应用（如在线影视、P2P下载等）走ADSL线路。视频流媒体软件和HTTP视频流媒体类型等应用在午夜时间不进行抑制，可以走光纤线路。

图5-1    网吧组网需求

5.2   配置思路

● 所有的P2P应用软件、在线影视等非关键应用走ADSL线路，能够在ADSL线路充分应用带宽。

● 设置光纤线路为缺省路由，确保关键应用走光纤线路，网络流畅。

● 当出口带宽不足时，Web业务可以走ADSL线路，减少光纤的使用，为关键业务减少带宽。