DPI(深度包检测)技术

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第1页共15页1DPI技术介绍1.1DPI技术产生的背景近年来,网络新业务层出不穷,有对等网络(Peer-to-Peer,简称P2P)、VoIP、流媒体、WebTV、音视频聊天、互动在线游戏和虚拟现实等。这些新业务的普及为运营商吸纳了大量的客户资源,同时也对网络的底层流量模型和上层应用模式产生了很大的冲击,带来带宽管理、内容计费、信息安全、舆论管控等一系列新的问题。尤其是P2P、VoIP、流媒体等业务,当前P2P业务的流量已网络游戏P2P下载流媒体HTTP视频流媒体网络游戏蠕虫病毒DoS攻击P2P下载WANLANHTTP视频WebTV蠕虫病毒蠕虫病毒数据风暴图1各种业务对带宽的抢占占互联网数据流量的50%-70%,如果再加上流媒体等业务,新业务的数据流量是相当巨大的,这打破了以往“高带宽、低负载”的IP网络QoS提供模式,在很大程度上加重了网络拥塞,降低了网络性能,劣化了网络服务质量,妨碍了正常的网络业务的开展和关键应用的普及。同时,P2P的广泛使用也给网络的信息安全监测管理带来了极大的挑战。由于P2P流量的带宽吞噬特性,简单的网络升级扩容是无法满足运营商数据流量增长需要的,加上网络设备缺乏有效的技术监管手段,不能实现对P2P/WEBTV等新兴业务的感知和识别,导致网络运营商对网络的运行情况无法有效管理。传统的网络运维管理,往往通过设备网管实现对网元级的管理,后来发展至网络级管理,可以对上层的简单应用进行管控,而这些应用级管控技术大多采用简单网络管理协议SNMP或者基于端口的流量识别进行进行分析和管理。因此,如何深度感知互联网/移动互联网业务,提供应用级管控手段,构建“可运营、可管理”的网络,成为运营商关注的焦点。1.2DPI能够为运营商解决什么问题互联网及移动互联网面临大量“高消耗、低价值”的业务对带宽的吞噬压力,网络安全第2页共15页和服务质量问题亟待解决,主要面临如下问题:网络出口带宽增加了一倍,可没几天还有大量用户投诉上网慢,收邮件慢,流媒体缓冲时间长,为什么?不断升级换代交换机、路由器等核心网设备,投资不少可网络设备的性能总是无法跟上带宽的增长速度。核心网络的服务质量现状如何?互联互通出口链路带宽占用率情况?链路丢包率?链路延时?关键业务的平均带宽?最大带宽?最小带宽?WAP/WEB浏览的平均延时?最大延时?最小延时?整个宽带业务网络中流量是如何构成的?哪些业务占据了主要的带宽?WAP浏览/彩信/139邮箱/WEB浏览/流媒体/P2P/VoIP/IM等热点业务各占据了多大带宽?核心网到各个其它运营商的流量流向如何?同各运营商的互联带宽多大?为此所缴纳的互联带宽费用是否与用户量的增长成比例?目前的出口带宽占用情况是否需要扩容?同各地市汇聚网的链路性能、带宽如何?业务性能如何?用户投诉上网慢,网管系统也无法找到故障源,性能故障到底在哪里?集团客户的上网或视频会议总是很慢,问题根源在哪里?P2P/流媒体等高消耗、低价值业务占用带宽过大,怎么精细化控制其带宽?网络中产生异常流量(包括端口扫描、DDOS攻击、广播风暴),如何定位发起攻击源?能否有种设备,能按时、按人、按集团客户、按业务来调整带宽分配,限制哪些无节制占用网络的次要业务,保障WAP/彩信/WEB/视频会议/VOIP/ERP等关键业务畅通无阻。交换机、路由器、防火墙、IDS等等等等,装了一大堆设备和软件,还要不断升级病毒库,可病毒和攻击还是防不住。能否从网络上拦截这些异常流量,防止其对网络造成破坏性影响?1.3DPI为运营商带来的好处DPI技术的出现,为互联网和移动互联网运营商带来了曙光,通过部署DPI系统,运营第3页共15页商可以:可视化全网。可以深入了解整个网络带宽由哪些应用占用(P2P/WEBTV/流媒体/IM/Games等。),哪些用户(手机号码/上网账号)是大用户,哪些小区是带宽吞噬大户,哪些手机终端使用业务最多…流量精细化管理。通过灵活的带宽管理机制(带宽整形、QoS管理、限速、提速、封堵等。。),来限制“高消耗、低价值”的业务和用户,从而有效的保障关键业务、关键用户,提升用户感知,提高带宽使用的性价比。丰富的QoS提供能力。根据不同的QoS需求,可提供CBR、VBR、UBR业务,可以在IP网络中提供虚拟专线业务。及时发现和抑制异常流量。可从网络通路上第一时间拦截异常流量,避免其对网络造成破坏性影响。透视全网服务质量,保障关键业务质量。可透视全网各种业务的延时、抖动、带宽占用等QoS指标,从而精确定位QoS劣化点。智能业务性能分析,减少网络瘫痪和性能劣化的时间。减少或延迟带宽投入,降低网络运营成本。通过××产品解决方案所提供的长期统计报告,可以准确了解网络带宽过去、现在和将来的总体使用情况,识别出实际带宽需求小于实际分配(租用)带宽的链路。对于广域网(WAN)连接,可以减少或者推迟网络升级计划(例如升级为千兆网,购买新的路由器等);从而节省了大笔费用。通过量化依据为带宽扩容提供科学的决策支持。转变被动维护局面,先于用户发现故障。××产品以其迅捷的故障响应机制和完善的主动监测流程为宽带网络的运营维护提供全面的保障机制,加快故障响应处理速度,缩短平均故障响应时间,大大提高了维护效率。提高市场竞争力,树立移动宽带精品网品牌。1.4传统的业务识别方法普通的报文检测往往仅分析IP分组的四层以下内容,一般包括源地址、源端口、目的地址、目的端口以及协议类型,如图1.1所示。第4页共15页图1.1传统的IP头部报文分析然而,仅通过分析IP地址和端口来识别业务存在很多的问题,包括:1.端口可变的业务。比如BT/EDK等业务,可以由用户自行设定端口。2.隐藏在合法端口之后的隧道业务。比如为躲避防火墙封锁而隐藏在80端口通过隧道传输VoIP语音或数据的应用。3.IP地址可变业务。比如部分应用为了逃避封锁,不断变换IP地址。4.交互式业务。比如FTP/流媒体/VoIP等,其媒体流的端口是通过交互协商出来的,非固定端口。1.5深度分组检测-DPIDPI,DeepPacketInspection,深度分组检测,通常简称为DPI。所谓深度分组检测是相对普通报文检测而言的一种新的检测技术,即对第七层,也即应用层的内容(净荷)进行深度分析,从而根据应用层的净荷特征识别其应用类型或内容。如图1.2所示。当IP数据包、TCP或者UDP数据流经过基于DPI技术的网络设备时,DPI引擎通过深入读取IP包载荷的内容来对OSI7层协议中的应用层信息进行重组,从而识别出IP包的应用层协议。图1.2DPI技术对应用特征的分析1.6传统业务识别与DPI的对比传统的业务识别方法是通过分析5元组或7元组信息(增加输入输出接口索引信息),无法细分不同的应用类型,尤其是应用类型不依赖于5元组或7元组信息的应用。而DPI技术是通过深入重组、分析第七层分组的净荷内容,匹配业务特征,从而判断业务和应用类型,DPI技术可以细分不同的应用类型。第5页共15页2DPI关键技术介绍DPI技术主要应用于业务识别和带宽管理领域,下面就分别将这两项主要技术进行详细阐述。2.1业务识别技术2.1.1净荷特征匹配技术不同的应用通常会采用不同的协议,而各种协议都有其特殊的特征(除加密应用),这些特征可能是特定的端口、特定的字符串或者特定的Bit序列。基于净荷特征匹配技术,正是通过识别数据报文中的净荷特征来确定业务流所承载的应用。根据具体检测方式的不同,基于净荷特征匹配技术又可细分为固定(或可变)位置特征匹配、多连接联合匹配和状态特征匹配四种分支技术。通过对特征信息的升级,基于净荷特征匹配技术可以很方便地扩展到对新协议的检测。固定位置匹配是最为简单的一种匹配方法。以Kazaa协议的识别为例,其握手消息中总包含字符串“User-Agent:Kazaa”。因此可以确定,“User-Agent:Kazaa”就是Kazaa协议的特征字。如图2.1所示。图2.1净荷特征匹配(固定位置匹配)多连接联合匹配是一种需要结合该应用中的多个连接联合匹配特征的方法。如JohnDoeProtocol这种协议,其每个连接的相同位置具有相同的特征,如下图2.2所示。358A277F15829871A580727F95888A7FConnection#1Connection#2Connection#3Connection#4识别JohnDoeProtocol图2.2多连接联合识别技术2.1.2交互式业务识别技术目前VoIP/FTP/网络游戏等业务普遍采用控制流与业务流分离的方式,通过控制流完成握手,协商出业务流的端口信息然后进行信息流传输,其业务流没有任何特征。因此通过DPI技术首先识别出控制流,并根据控制流协议分析识别出业务流的端口或对端网关地址等信息,然后对业务流进行解析,从而识别出相应的业务流。典型的业务如SIP、H323协议都属于这种类型的协议。SIP、H323通过信令交互过程,协商得到其数据通道,一般是RTP第6页共15页格式封装的语音流。也就是说,纯粹检测RTP流并不能确定这条RTP流是通过哪种协议建立起来的,只有通过检测SIP或H323的协议交互,才能得到其完整的分析。2.1.3行为模式识别技术在实施行为模式识别技术之前,运营商必须首先对终端的各种行为进行研究,并在此基础上建立起行为识别模型。基于行为识别模型,行为模式识别技术即可根据用户已经实施的行为,判断用户正在进行的动作或者即将实施的动作。行为模式识别技术通常用于那些无法由协议本身就能判定的业务。例如,从Email的内容看,SPAM(垃圾邮件)业务流与普通邮件业务流两者没有区别,只有进一步分析才能识别出SPAM邮件。具体可通过发送邮件的速率、目的邮件地址数目、变化频率、源邮件地址数目、变化频率、邮件被拒绝的频率等参数,建立起行为识别模型,并以此分拣出垃圾邮件。2.1.4深度流检测技术DFI各种业务应用的数据包自身特性及传输特性都有所区别,因此,基于流的行为特征,通过与已建立的应用数据流的数据模型进行比对,也可以判别出该流的业务或应用类型。深度流检测法即是基于这种原理,根据各种应用的连接数、单IP地址的连接模式、上下行流量比例关系、数据包发送频率等数据流的行为特征指标的不同与DFI检测模型进行匹配,进而从中区分出P2P应用类型。DFI检测存在如下优点:能够发现未知P2P应用,具有对新P2P应用的感知能力。加密协议对检测算法影响较小。避免查看应用层协议内容,检测效率较高。缺点在于检测准确度与DPI相比稍低。有将非P2P应用误判为P2P应用的情况。2.2带宽管理技术2.2.1串联流量控制串接流控通常以透明模式串接到网络设备中使用。通过对网络上的各种类型的应用流量进行分类,并根据控制策略,可将需要控制的P2P流量数据包丢弃。P2P数据传输的两端客户端由于再一定的时间内未收到数据包或确认信息,将启用TCP/IP协议的拥塞控制机制或应用层协议进行降速传输,从而实现对P2P流量进行控制的目的。这种方式的优点在于采用丢弃数据包、队列调度等方式,控制方式比旁路方式直接,不占用额外的干扰接入端口。缺点在于所有的网络数据流都要经过设备处理在进行转发,容易带来附加延时,引起网络服务的质量问题。另外,由于检测设备必须部署到网络流量真实路径上,有可能形成处理瓶颈和单点故障。直路串接方式对设备的处理和转发性能要求都很高。如图2.3。图2.3串联流控方式2.2.2并联干扰控制旁路干扰控制主要采用数据包伪装技术将伪装的干扰数据包发到正在通信的TCP、UDP连接中降低连接的数据传输速率或者切断连接以达到流量控制的目的。由于P2P数据传输采用TCP或UDP方式,因此旁路干扰控制的流量控制方法有如下几种:TCP截断,通过伪造并发送TCPRST报文来截断TCP连接。第7页共15页TCP降速,通过伪造并发送特殊sequence报文来减小TCP的滑动窗口值。UDP截断,通过伪造并发送P2P应用层特殊控制命令方式来截断UDP连接。UDP降速,通过伪造并发送P2P应用层特殊控制命令方

1 / 15
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功