网络分流器-DPI深度数据包检测技术及作用

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络分流器-DPI深度数据包检测技术及作用相关的知识,希望对你有一定的参考价值。

戎腾网络分流器又名核心网采集器,作为网络安全领域网络监控前端重要的基础装备,是整个网络安全中不可缺少的必要装备!对网络安全起到了关键作用! 戎腾当前固网已经升级到400G,支持不同链路,移动互联网信令采集流量升级到100G接口,支持不同运营商分别分流,且支持IPV4和IPV6 ! 今天具体介绍一下当前比较热的深度数据包检测技术及其作用!---网络分流器
技术分享图片

网络分流器ATCA框式主打高密度高性价比
技术分享图片
网络分流器盒式支持48个10G
技术分享图片
网络ATCA框式网络分流器最大14槽,支持480个10G和76个100G,交换能力达到12.8T

最新正交架构16槽网络分流器,交换能力达到52.6T,数据处理能力达26.5T

网络分流器-网络分流器-DPI深度数据包检测技术及作用

技术分享图片

戎 | 腾移动互联网信令采集当前最大支持384个10G或者48个100G和96个10G,为14槽ATCA框式

何谓DPI

DPI 全称为“Deep Packet Inspection”,称为“深度包检测”。所谓“深度”是和普通的报文

分析层次相比较而言的,“普通报文检测”仅分析IP包的层4 以下的内容,包括源地址、目的地

址、源端口、目的端口以及协议类型,而DPI 除了对前面的层次分析外,还增加了应用层分析,

识别各种应用及其内容,基本概念如下图所示:

技术分享图片
网络分流器之DPI示意图

DPI技术原理

DPI 的技术关键是高效的识别出网络上的各种应用。

普通报文检测是通过端口号来识别应用类型的。如检测到端口号为80时,则认为该应用代表着普

通上网应用。而当前网络上的一些非法应用会采用隐藏或假冒端口号的方式躲避检测和监管,造

成仿冒合法报文的数据流侵蚀着网络。此时采用L2~L4层的传统检测方法已无能为力了。

DPI 技术就是通过对应用流中的数据报文内容进行探测,从而确定数据报文的真正应用。因为非

法应用可以隐藏端口号,但目前较难以隐藏应用层的协议特征。

DPI的识别技术可以分为以下几大类:

(1)基于“特 征 字”的识别技术

不同的应用通常依赖于不同的协议,而不同的协议都有其特殊的指纹,这些指纹可能是特定的端

口、特定的字符串或者特定的Bit 序列。基于“特 征 字”的识别技术通过对业务流中特定数据报

中的“指纹”信息的检测以确定业务流承载的应用。

根据具体检测方式的不同,基于“特征字”的识别技术又可以被分为固定位置特征字匹配、变动

位置的特征匹配以及状态特征匹配三种技术。

通过对“指纹”信息的升级,基于特征的识别技术可以很方便的进行功能扩展,实现对新协议的

检测。

DPI的关键在于,它要不断地在格式不定的数据包中判断出各种特征字,实现这一过程的基础技术

就是模式匹配。通俗地讲,就是字符串匹配,即从数据中搜索是否存在目

标字符串。通常,目标字符串采用正则表达式标准语法来描述。

(2)应用层网关识别技术

某些业务的控制流和业务流是分离的,业务流没有任何特征。这种情况下,我们就需要采用应用

层网关识别技术。

应用层网关需要先识别出控制流,并根据控制流的协议通过特定的应用层网关对其进行解析,从

协议内容中识别出相应的业务流。

对于每一个协议,需要有不同的应用层网关对其进行分析。

如SIP、H323协议都属于这种类型。SIP/H323通过信令交互过程,协商得到其数据通道,一般是

RTP格式封装的语音流。也就是说,纯粹检测RTP流并不能得出这条RTP流是那通过那种协议建立

的。只有通过检测SIP/H323的协议交互,才能得到其完整的分析。

(3)行为模式识别技术

行为模式识别技术基于对终端已经实施的行为的分析,判断出用户正在进行的动作或者即将实施

的动作。行为模式识别技术通常用于无法根据协议判断的业务的识别。例如:SPAM(垃圾邮

件)业务流和普通的Email业务流从Email的内容上看是完全一致的,只有通过对用户行为的分

析,才能够准确的识别出SPAM业务。

以上三种识别技术分别用于不同类型协议的识别,无法相互替代。而华为公司在应用DPI 技术部

署DPI 系统时采用了多业务控制网关MSCG分层DPI 解决方案,综合运用了这三种技术,在检测

效率和灵活性方面均达到最优。

DPI 技术的应用

利用DPI 技术在IP网络中部署DPI 系统可实现网络运营中的业务识别、业务控制和业务统计三大

功能。

业务识别

一般而言,对于业务识别有两种方法,一种是对运营商开通的合法业务,另外一种是运营商需要

进行监管的业务。

前者可以通过业务流的五元组来标识,如VOD业务,其业务流的地址是属于VOD服务器网段的地

址,其端口是一个固定的端口。系统一般采用ACL的方式,识别出该类业务。

后者需求DPI技术,通过前述的业务识别方法,通过对IP数据包的内容进行分析,通过特征字的查

找或者业务的行为统计,得到业务流的类型。

业务控制

通过DPI 技术识别出各类业务流之后,根据网络配置的组合条件,如用户、时间、带宽、历史流

量等,对业务流进行控制。控制方法包括:正常转发、阻塞、限制带宽、×××、重标记优先级

等。

为了便于业务的运营,业务控制策略一般集中配置在策略服务器中,用户上线后动态下发。

技术分享图片盒式支持4个100G

业务统计

DPI 的业务统计功能是为了直观的统计网络的业务流量分布和用户的各种业务使用情况,从而更

好的发现促进业务发展和影响网络正常运营的因素,为网络和业务优化提供依据。如:发掘对用

户有吸引力的业务、验证业务提供水平是否达到了用户的服务等级协议SLA、统计分析出网络中

的***流量占多少比例、多少用户正在使用某种游戏业务、哪几种业务最消耗网络的带宽和哪些

用户使用了非法VOIP等等。

DPI 技术的发展

可以看出,DPI 的检测技术和网络上非正常应用的反检测是矛和盾的关系。前面谈到的DPI技术不

是静止不变的,随着检测技术的发展,非正常应用的隐藏技术也在演进。如对数据部分加密、隐

藏特征字和通过隧道技术躲避检测等等。

DPI 技术在发展中将不断调整上述的检测方法,从而达到比较高的检测精度。

总之,DPI 技术将逐渐在安全、业务控制等方面广泛应用,为运营商精细控制和运营网络提供一

种利器---网络分流器
技术分享图片

以上是关于网络分流器-DPI深度数据包检测技术及作用的主要内容,如果未能解决你的问题,请参考以下文章

网络分流器-TCP报文重组和会话规则-网络分流器

网络分流器|基于复合存储的100GbpsDPI技术

网络分流器|基于复合存储的100GbpsDPI技术

网络分流器-网络分流器TAP网络流量监控

网络分流器的作用?网络分流器的分类

网络分流器-网络分流器-网络流量监控技术及其方法