端口識別技術(shù)
端口識別技術(shù)是利用IP流量的端口號完成識別過程,前提流量是TCP和UDP類型報(bào)文。TCP和UDP采用16位的端口號來區(qū)分不同應(yīng)用進(jìn)程,端口號范圍為0~65535,其中 1~1023端口號常用。比如:HTTP協(xié)議通常使用80端口,DNS協(xié)議通常使用53號端口,SSH協(xié)議使用22號端口, Telnet協(xié)議使用23號端口, TFTP協(xié)議使用69號端口,SNMP協(xié)議使用161號端口等等,還有更多的端口號并不作為特定的協(xié)議使用,而是作為流量轉(zhuǎn)發(fā)時(shí),相互之間交互使用。端口識別技術(shù)只檢查數(shù)據(jù)包端口號,將不同的端口流量進(jìn)行甄別,并列出,從而知曉流量中都有哪些協(xié)議在應(yīng)用。當(dāng)然,如果是一些未定義的端口號,則認(rèn)為是普通數(shù)據(jù)傳輸應(yīng)用。顯然,端口識別技術(shù)僅能識別TCP和UDP類型報(bào)文,并且當(dāng)業(yè)務(wù)流量使用動(dòng)態(tài)端口或知名端口進(jìn)行傳輸,部分?jǐn)?shù)據(jù)包如ICMP報(bào)文等并沒有端口號,這類流量就無法通過端口識別技術(shù)去識別。
深度包識別技術(shù)
深度包識別技術(shù)即DPI(Deep Packet Inspection),DPI根據(jù)協(xié)議特征簽名,對數(shù)據(jù)包的應(yīng)用層數(shù)據(jù)進(jìn)行深度分析,識別出相應(yīng)協(xié)議,協(xié)議特征簽名通常表現(xiàn)為數(shù)據(jù)包出現(xiàn)特定字符串或特定數(shù)字。在識別過程中,還可以同時(shí)結(jié)合數(shù)據(jù)包首部信息。DPI技術(shù)叫深度識別,就是可以做到精確識別,不僅僅分析數(shù)據(jù)包的淺層信息,并且DPI識別的協(xié)議類型更多,很多數(shù)據(jù)包頭沒有明顯特征,也可以通過DPI技術(shù)識別出來。比如:一些視頻語音文件,一些流量的局部微小特征如版本號或者負(fù)載大小等。不僅流量特征,DPI還可以作為應(yīng)用層網(wǎng)關(guān)識別和行為模式識別,這類流量已經(jīng)看不出任何協(xié)議特征之處,但通過流量行為或網(wǎng)關(guān)識別仍能找出規(guī)律。DPI多用于網(wǎng)絡(luò)應(yīng)用層,直接對應(yīng)用進(jìn)行識別。在防火墻、OpenDPI、L7-filter、Libprotoident、PACE和NBAR中都有應(yīng)用。DPI技術(shù)可以識別四層到七層的流量特征,從應(yīng)用層面進(jìn)行識別,精度高。
深度流識別技術(shù)
深度流識別技術(shù)即DFI(Deep Flow Inspection),與DPI就差一個(gè)字,意義就不同了。DFI是一種基于對網(wǎng)絡(luò)流量行為檢測的識別技術(shù),利用流的統(tǒng)計(jì)特征進(jìn)行識別。DFI不需要訪問應(yīng)用層信息,只需分析流的特征,如分析流的數(shù)據(jù)包長度規(guī)律、接入連接與連出連接的比值,上行流量與下行流量的比值等。例如:網(wǎng)上IP語音流量體現(xiàn)在流狀態(tài)上的特征就非常明顯,RTP流的包長相對固定,一般在130~220Byte,連接速率較低,為20~84kbit/s,同時(shí)會話持續(xù)時(shí)間也相對較長,基于P2P下載應(yīng)用的流量模型的特點(diǎn)為平均包長都在450byte以上,下載時(shí)間長,連接速率高。DFI基于這一系列流量的行為特征,建立流量特征模型,鑒別應(yīng)用類型。當(dāng)然,絕大部分的應(yīng)用這類特征并不明顯,DFI技術(shù)就無能為力了。
圖1列了以上三種流量識別技術(shù)的對比,各有優(yōu)缺點(diǎn),端口識別技術(shù)識別速度快,但能夠識別的流量類型比較有限,是二到四層的流量識別技術(shù)。DPI和DFI都是四到七層的識別技術(shù)。DPI適用于需要精細(xì)和準(zhǔn)確識別、精細(xì)管理的環(huán)境,DFI適用于需要高效識別、粗放管理的環(huán)境。從處理速度上看,DFI識別速度快,DPI識別速度慢。從維護(hù)成本上來看,DFI維護(hù)成本低。所以,三種流量技術(shù)在識別率、準(zhǔn)確率、實(shí)時(shí)性、可擴(kuò)展性方面表現(xiàn)均有所不同,對于客戶要看其更注重哪個(gè)方面,然后綜合比較,再去選擇相應(yīng)的流量識別技術(shù)部署。
流量識別的目標(biāo)是對網(wǎng)絡(luò)流量按照協(xié)議、應(yīng)用和WEB服務(wù)三個(gè)層次進(jìn)行實(shí)時(shí)識別,盡可能做到細(xì)粒度的分類,為網(wǎng)絡(luò)監(jiān)控提供決策參考。在流量識別的基礎(chǔ)上,網(wǎng)絡(luò)監(jiān)控可以采取多種措施。例如:將占據(jù)網(wǎng)絡(luò)帶寬大而并不關(guān)鍵的應(yīng)用進(jìn)行限速,而將更多的網(wǎng)絡(luò)資源分給一些重要任務(wù)流量上;可以對網(wǎng)絡(luò)深層次進(jìn)行剖析,為檢測網(wǎng)絡(luò)中的異常流量提供參考依據(jù),起到防攻擊效果,其實(shí)在不少的防火墻上防攻擊的過濾功能就是基于DFI和DPI的識別技術(shù);流量識別可以用于流量計(jì)費(fèi)、提升用戶體驗(yàn)和保障網(wǎng)絡(luò)安全方面,還可以用于日常運(yùn)維,通過流量識別及早發(fā)現(xiàn)網(wǎng)絡(luò)流量異動(dòng),從而采取保障措施,確保業(yè)務(wù)不受影響。流量識別技術(shù)已經(jīng)成為數(shù)據(jù)中心網(wǎng)絡(luò)的一項(xiàng)必備功能,在網(wǎng)絡(luò)監(jiān)控中不可缺少。