1、DPI 技术介绍DPI 技术原理DPI 是目前通过 IP 来识别和鉴定协议及应用(IP 流)的最重要的技术。所谓“深度数据包检测” , “深度”是和标准数据包分析层次相比较而言的, “标准数据包检测”仅分析 IP 包的 4 层以下的基础信息,包括源 IP 地址、目的 IP 地址、源端口、目的端口以及连接状态,这些信息保存在数据包的 4 层以下的包头内。见图一。仅使用标准的数据包检测来分析鉴定协议及应用是不够的,比如新型的 P2P 协议所使用的端口是变化的,同样一个应用可能分到多个数据包,重要的数据信息并没有在包头内体现。 DPI 除了对 4 层以下的基础信息进行分析外,还增加了应用层分析,识别
2、各种应用及其内容。这是通过对一系列数据包的包头以及负载中的签名特征(Signature)进行分析,同时 DPI 提供了对网络的利用率的分析,为网络性能优化提供了手段。见图二。为了处理大量的互联网和网络应用及协议,一种系统化的鉴别手段必须被使用。这个有点类似于法律中通过识别指纹来辨别每个人的情况,签名被用来鉴别应用和协议。在广义上,签名是被用来分析鉴别应用及协议的特征唯一性的手段,当一个新的应用及协议被发明,同样会有相应的签名,这个签名会被识别和添加到签名数据库中。同样签名也是会不断变化的,比如 BitTorrent/eMule/Skype 每升级一个新的版本,可能就会有新的签名,所以对签名的研
3、究是需要持续不断的。如果应用在升级,而签名特征库不被更新的话,应用及协议的识别会大打折扣。 由于大多数 P2P 文件共享应用都使用端口跳动技术或者盗用一些常用的协议端口进行传输,所以通过端口对它们进行识别显然是远远不够的。因此,所有的数据包都必须在应用层面(Application Layer)上进行检查,即对传输协议如 TCP 协议的负载(payload)部分进行检查,以判断它们是否符合代表某些应用代码的样本签名特征。在很多情况下,对于某一种应用的识别需要检测它是否匹配多个代码样本的签名特征。例如,在图三中,显示了一个数据包的结构,如果只是通过常见的 HTTP 应用签名特征进行判断, 就很容易
4、将它误判为一个 Web 访问的应用。因为如果我们只观察第一个签名特征样本(例如 HTTP/1.1) ,那么它看上去很像是一个标准的 HTTP 协议。然而通过对数据包的负载部分的进一步深入考察,我们发现了该数据包具有的第二个代码样本签名特征,即 KaZaA,这样我们就能够了解这个数据包的真实身份和目的。有时候,不同的代码样本签名特征是分散在一次协议会话的多个数据包之中的。为了能够准确的对应用进行识别,就必须使用精密的第 7 层协议侦测系统对往来的数据包进行分析,从而实现与应用代码样本匹配。DPI 技术的应用利用 DPI 技术在 IP 网络中部署 DPI 系统可实现网络运营中的业务识别、业务控制和
5、业务统计三大功能。业务识别一般而言,对于业务识别有两种方法,一种是对运营商开通的合法业务,另外一种是运营商需要进行监管的业务。前者可以通过业务流的五元组来标识,如 VOD 业务,其业务流的地址是属于 VOD 服务器网段的地址,其端口是一个固定的端口。系统一般采用 ACL 的方式,识别出该类业务。后者需求 DPI 技术,通过前述的业务识别方法,通过对 IP 数据包的内容进行分析,通过特征字的查找或者业务的行为统计,得到业务流的类型。业务控制通过 DPI 技术识别出各类业务流之后,根据网络配置的组合条件,如用户、时间、带宽、历史流量等,对业务流进行控制。控制方法包括:正常转发、阻塞、限制带宽、整形
6、、重标记优先级等。为了便于业务的运营,业务控制策略一般集中配置在策略服务器中,用户上线后动态下发。业务统计DPI 的业务统计功能是为了直观的统计网络的业务流量分布和用户的各种业务使用情况,从而更好的发现促进业务发展和影响网络正常运营的因素,为网络和业务优化提供依据。如:发掘对用户有吸引力的业务、验证业务提供水平是否达到了用户的服务等级协议 SLA、统计分析出网络中的攻击流量占多少比例、多少用户正在使用某种游戏业务、哪几种业务最消耗网络的带宽和哪些用户使用了非法 VOIP 等等。DPI 技术的发展可以看出,DPI 的检测技术和网络上非正常应用的反检测是矛和盾的关系。前面谈到的 DPI 技术不是静止不变的,随着检测技术的发展,非正常应用的隐藏技术也在演进。如对数据部分加密、隐藏特征字和通过隧道技术躲避检测等等。DPI 技术在发展中将不断调整上述的检测方法,从而达到比较高的检测精度。总之,DPI 技术将逐渐在安全、业务控制等方面广泛应用,为运营商精细控制和运营网络提供一种利器。
