網路分流器-網路分流器之DPI深度資料包檢測技術及作用

戎 騰 網路分流器又名核心網採集器,作為網路安全領域網路監控前端重要的基礎裝備,是整個網路安全中不可缺少的必要裝備!對網路安全起到了關鍵作用 ! RT當前固網已經升級到400G,支援不同鏈路,移動網際網路信令採集流量升級到100G介面,支援不同運營商分別分流,且支援IPV4和IPV6 ! 今天具體介紹一下當前比較熱的深度資料包檢測技術及其作用!---網路分流器

網路分流器ATCA框式主打高密度高價效比

網路分流器盒式支援48個10G

ATCA框式網路分流器最大14槽,支援480個10G和76個100G,交換能力達到12.8T

最新正交架構16槽網路分流器,交換能力達到52.6T,資料處理能力達26.5T

戎R騰T 移動網際網路信令採集當前最大支援384個10G或者48個100G和96個10G,為14槽ATCA框式

何謂DPI

DPI 全稱為“Deep Packet Inspection”，稱為“深度包檢測”。所謂“深度”是和普通的報文

分析層次相比較而言的，“普通報文檢測”僅分析IP包的層4 以下的內容，包括源地址、目的地

址、源埠、目的埠以及協議型別，而DPI 除了對前面的層次分析外，還增加了應用層分析，

識別各種應用及其內容，基本概念如下圖所示：

DPI示意圖

DPI技術原理

DPI 的技術關鍵是高效的識別出網路上的各種應用。

普通報文檢測是透過埠號來識別應用型別的。如檢測到埠號為80時，則認為該應用代表著普

通上網應用。而當前網路上的一些非法應用會採用隱藏或假冒埠號的方式躲避檢測和監管，造

成仿冒合法報文的資料流侵蝕著網路。此時採用L2~L4層的傳統檢測方法已無能為力了。

DPI 技術就是透過對應用流中的資料包文內容進行探測，從而確定資料包文的真正應用。因為非

法應用可以隱藏埠號，但目前較難以隱藏應用層的協議特徵。

DPI的識別技術可以分為以下幾大類：

（1）基於“特 徵 字”的識別技術

不同的應用通常依賴於不同的協議，而不同的協議都有其特殊的指紋，這些指紋可能是特定的端

口、特定的字串或者特定的Bit 序列。基於“特 徵 字”的識別技術透過對業務流中特定資料包

文

中的“指紋”資訊的檢測以確定業務流承載的應用。

根據具體檢測方式的不同，基於“特徵字”的識別技術又可以被分為固定位置特徵字匹配、變動

位置的特徵匹配以及狀態特徵匹配三種技術。

透過對“指紋”資訊的升級，基於特徵的識別技術可以很方便的進行功能擴充套件，實現對新協議的

檢測。

DPI的關鍵在於，它要不斷地在格式不定的資料包中判斷出各種特徵字，實現這一過程的基礎技術

就是模式匹配。通俗地講，就是字串匹配，即從資料中搜尋是否存在目

標字串。通常，目標字串採用正規表示式標準語法來描述。

（2）應用層閘道器識別技術

某些業務的控制流和業務流是分離的，業務流沒有任何特徵。這種情況下，我們就需要採用應用

層閘道器識別技術。

應用層閘道器需要先識別出控制流，並根據控制流的協議透過特定的應用層閘道器對其進行解析，從

協議內容中識別出相應的業務流。

對於每一個協議，需要有不同的應用層閘道器對其進行分析。

如SIP、H323協議都屬於這種型別。SIP/H323透過信令互動過程，協商得到其資料通道，一般是

RTP格式封裝的語音流。也就是說，純粹檢測RTP流並不能得出這條RTP流是那透過那種協議建立

的。只有透過檢測SIP/H323的協議互動，才能得到其完整的分析。

網路分流器

（3）行為模式識別技術

行為模式識別技術基於對終端已經實施的行為的分析，判斷出使用者正在進行的動作或者即將實施

的動作。行為模式識別技術通常用於無法根據協議判斷的業務的識別。例如：SPAM（垃圾郵

件）業務流和普通的Email業務流從Email的內容上看是完全一致的，只有透過對使用者行為的分

析，才能夠準確的識別出SPAM業務。

以上三種識別技術分別用於不同型別協議的識別，無法相互替代。而華為公司在應用DPI 技術部

署DPI 系統時採用了多業務控制閘道器MSCG分層DPI 解決方案，綜合運用了這三種技術，在檢測

效率和靈活性方面均達到最優。

DPI 技術的應用

利用DPI 技術在IP網路中部署DPI 系統可實現網路運營中的業務識別、業務控制和業務統計三大

功能。

業務識別

一般而言，對於業務識別有兩種方法，一種是對運營商開通的合法業務，另外一種是運營商需要

進行監管的業務。

前者可以透過業務流的五元組來標識，如VOD業務，其業務流的地址是屬於VOD伺服器網段的地

址，其埠是一個固定的埠。系統一般採用ACL的方式，識別出該類業務。

後者需求DPI技術，透過前述的業務識別方法，透過對IP資料包的內容進行分析，透過特徵字的查

找或者業務的行為統計，得到業務流的型別。

業務控制

透過DPI 技術識別出各類業務流之後，根據網路配置的組合條件，如使用者、時間、頻寬、歷史流

量等，對業務流進行控制。控制方法包括：正常轉發、阻塞、限制頻寬、整形、重標記優先順序

等。

為了便於業務的運營，業務控制策略一般集中配置在策略伺服器中，使用者上線後動態下發。

網路分流器盒式支援4個100G

業務統計

DPI 的業務統計功能是為了直觀的統計網路的業務流量分佈和使用者的各種業務使用情況，從而更

好的發現促進業務發展和影響網路正常運營的因素，為網路和業務最佳化提供依據。如：發掘對用

戶有吸引力的業務、驗證業務提供水平是否達到了使用者的服務等級協議SLA、統計分析出網路中

的攻擊流量佔多少比例、多少使用者正在使用某種遊戲業務、哪幾種業務最消耗網路的頻寬和哪些

使用者使用了非法VOIP等等。

DPI 技術的發展

可以看出，DPI 的檢測技術和網路上非正常應用的反檢測是矛和盾的關係。前面談到的DPI技術不

是靜止不變的，隨著檢測技術的發展，非正常應用的隱藏技術也在演進。如對資料部分加密、隱

藏特徵字和透過隧道技術躲避檢測等等。

DPI 技術在發展中將不斷調整上述的檢測方法，從而達到比較高的檢測精度。

總之，DPI 技術將逐漸在安全、業務控制等方面廣泛應用，為運營商精細控制和運營網路提供一

種利器---網路分流器