DPI技术——关键业务不卡顿的保障!
【DPI技术】本文主要是对DPI技术进行介绍,指出DPI技术在应用审计、应用路由、IPS、流量管理等方面获得广泛的应用,可以阻断外部攻击、审计用户上网行为,极大地提高了网络的安全性。并详细介绍了DPI工作原理、DPI技术优势以及DPI技术的典型应用。
1 背景
随着信息技术的飞速发展,对等网络(Peer-to-Peer,简称P2P)、流媒体、互动在线游戏和虚拟现实等新型网络业务层出不穷。在这些新兴业务中,P2P业务的流量占互联网数据流量的50%-70%,再加上其他业务流量,极大地加重了网络拥塞,影响了正常网络业务的开展和关键应用的普及。同时,P2P应用的广泛使用也给网络管理带来了极大的挑战。
为了应对新兴业务带来的带宽负载,传统的解决方案是通过简单的网络升级扩容,其弊端也是显而易见的:
● 带宽管理方面:面对不断增长的数据流量,需要不断地增加网络设备,增加硬件成本和运维成本。
● 网络运维方面:缺乏有效的技术监管手段,不能对新型业务数据进行感知和识别。
● 网络安全方面:传统的网络安全检测只能对报文进行四层检测(IP+端口),攻击者可以构造报文(将攻击信息插入到应用层)来绕开检测,从而达到攻击目的。
因此,如何深度感知互联网/移动互联网业务,提供应用级管控手段,成为运营商关注的焦点。为了解决这些问题,DPI技术应运而生。
2 DPI技术介绍
DPI(Deep Packet Inspection,深度报文检测)是一种基于报文的应用层信息对流量进行检测和控制的功能。普通报文检测只能分析报文四层以下的内容,如IP、端口、协议类型等。而DPI技术除了能对这些信息进行分析外,还增加了对应用层的分析,能够识别各种应用及其内容。当IP数据包、TCP或UDP数据流通过支持DPI技术的设备时,设备会通过深入读取报文载荷来进行重组和分析,从而识别整个应用程序的内容,然后按照设备定义的管理策略对流量进行后续处理。
正是由于其应用识别的特性,DPI技术在应用审计、应用路由、IPS、流量管理等方面获得广泛的应用,可以阻断外部攻击、审计用户上网行为,极大地提高了网络的安全性。
3 DPI工作原理
3.1 DPI检测原理
不同类型的应用通常依赖于不同的协议,而不同的协议都有其特殊的指纹,这些指纹可能是特定的端口、特定的字符串或Bit序列。这些指纹由专业的安全专家收集并整理,形成“特性库”,当DPI设备收到报文后,就会通过特征库中的特征规则对报文载荷进行匹配,最终识别出数据流所属的应用类型。
一个特征库中可能有上千条特征规则,匹配报文时,为了能够尽可能的提高报文匹配的效率,降低对报文转发性能的影响。DPI技术提出了快速匹配方法,其原理如下:
(1)先进行近似匹配:取出每条规则的最长特征串,进行最长特征串的多模AC算法匹配。根据最长特征串找到可能匹配的候选规则。
(2)再进行精确匹配:对候选规则进行单模算法的字符串匹配或者正则表达式字符串匹配。
特征码的距离固定,可以用特征库载荷规则选项进行精确特征描述,然后转化为单模算法的字符串匹配进行精确匹配。通常我们会采用改良的单模BM算法进行匹配。
特征码的距离不固定难以描述,可以用正则表达式文法描述,采用正则表达式算法进行匹配。
3.2 DPI检测流程
DPI深度检测流程如下:
(1)设备加载特征库文件。
(2) 当设备收到报文后,在协议和端口的识别基础上对报文载荷进行解码,然后通过特征库中的特征规则对载荷进行匹配,识别报文内容。
(3)根据匹配结果处理报文:
匹配成功,将报文转发给其他业务模块(如IPS、应用路由)进行后续处理等。
匹配失败,放行报文。
4 DPI技术优势
4.1 和传统四层检测比较
传统的四层检测只能识别报文二到四层的信息,如IP、端口号等。而DPI技术不仅能识别这些信息,还能识别应用层信息,识别更精细、更准确。
图4-1 DPI深度检测和传统四层检测对比
4.2 和DFI技术比较
与DPI进行报文应用层载荷的检测不同,DFI采用的是一种基于流量行为的应用识别技术。不同类型的应用,其会话连接或数据流的状态不同。例如,P2P下载应用的流量模型的特点为平均包长都在450byte以上、下载时间长、连接速率高、首选传输层协议为TCP等。DFI技术正是基于这一系列流量的行为特征,通过机器学习算法建立流量特征模型,分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比,从而鉴别应用类型。
DFI与DPI两种技术的基本目标都是为了实现应用识别,但是两者在实现的着眼点和技术细节方面又有着较大的区别,具体如表4-1所示。
| 技术类型 | 处理速度 | 维护成本 | 识别准确率 | 适用场景 |
| DPI | 较慢(逐包) | 较高(特征库维护) | 较高 | 适用于精细和准确识别、精细管理的场景 |
| DFI | 较快(逐流) | 较低 | 较低 | 适用于高效识别、粗放管理的场景 |
5 典型应用
锐捷的防火墙和出口网关系列产品已经全面支持DPI技术,本章以RG-EG3250多业务安全网关为例,介绍DPI技术在网吧场景中的使用及配置思路。
5.1 组网需求
网吧出口有1条光纤线路和多条ADSL线路,根据业务需求,要求关键应用(如游戏、网页浏览、即时通讯等)走光纤链路;抑制应用(如在线影视、P2P下载等)走ADSL线路。视频流媒体软件和HTTP视频流媒体类型等应用在午夜时间不进行抑制,可以走光纤线路。
图5-1 网吧组网需求
5.2 配置思路
● 所有的P2P应用软件、在线影视等非关键应用走ADSL线路,能够在ADSL线路充分应用带宽。
● 设置光纤线路为缺省路由,确保关键应用走光纤线路,网络流畅。
● 当出口带宽不足时,Web业务可以走ADSL线路,减少光纤的使用,为关键业务减少带宽。
相关标签:
点赞
更多技术博文
-
锐捷Wi-Fi 7高密AP RG-AP9520-RDX 携“动态波束赋形天线”正式登场!锐捷网络新一代搭载智能天线的Wi-Fi 7高密无线接入点 RG-AP9520-RDX正式上市,该产品采用三射频设计,内置Al Radio智能射频,整机8条空间流,速率高达6.453Gbps,适用于高教、政府、普教、金融、商业等普通室内场景,亦可以满足企业大开间办公区、中大型报告厅、图书馆自习室、室内场馆、室内会场等高密度无线覆盖场景。
-
#无线
-
-
锐捷乐享云订阅,让IT运维更简单在数字化转型的浪潮中,IT系统的复杂性正以惊人的速度增长。大多数企业在IT运维中面临故障定位难、效率低、成本高等问题,在此背景下,锐捷网络“乐享云订阅”服务应运而生,为客户提供持续高效的IT运维管理体验,助力企业增强灵活性并加速投资回报。
-
#统一运维
-
#IT运维
-
#IT运维管理
-
-
锐捷Wi-Fi 7新一代全院零漫游解决方案创新发布,为智慧医院建设注入新动力在智慧医疗快速发展的今天,医院基础信息化网络正迎来一场革命性的转型。医疗数据流量的爆炸性增长,对网络带宽提出了前所未有的要求;智慧病房的广泛应用,设备无线化趋势明显,部署规模和终端数量急剧膨胀,运维的复杂性也随之水涨船高。此外,医院网络一方面在拥抱开放的物联网,实现智慧病房的多功能融合,同时也需坚守业务安全,满足等保标准。在这样的背景下,怎样的无线网络能支撑起智慧医疗当前与未来?
-
#医疗
-
#医院网络
-
#Wi-Fi 7
-
#无线
-
-
不可忽视的网络安全日志分析网络安全日志分析是保障数字时代信息安全的关键措施。新一代日志分析与审计系统通过全面收集、标准化处理和智能分析各类网络日志,及时发现安全威胁和异常行为,提供全局视角和深度安全洞见,确保业务的不间断安全运营。
-
#知识百科
-
#安全
-
