行業動態

成吉思資訊丨數據中心網絡流量識別技術漫談

發布時間:2018-11-16發布人:admin

流量識別是網絡監控的關鍵環節,要對網絡進行監控首先要識別,否則監控就無從下手。流量是網絡中傳輸數據的重要載體,只有針對流量進行識別,才能根據不同的流量采取不同的監控策略,或是拒絕,或是優化,或是打標,進行優先級分類等等,所有這一切工作的前提都是先要對流量進行識別。根據以太網標準定義,各種各樣的流量數據包都是有固定格式的,但種類極其繁多,還有一些攻擊流量,不符合任何標準協議特征的,所以要將所有的流量識別出來,并分好類絕非易事。比如:有的可以識別出流量中不同的端口號,有的可以識別出流量中不同的IP五元組,有的可以分清以太、非以太流量,是否帶封裝等等,識別流量的側重點不同,識別的深度也各有不同,這一領域的技術也在不斷發展著,以便適應網絡監控的多方面需要。那么,流量識別有哪些常用技術呢,在日常的網絡監控中可以用得上,本文就來說一說。

端口識別技術

端口識別技術是利用IP流量的端口號完成識別過程,前提流量是TCP和UDP類型報文。TCP和UDP采用16位的端口號來區分不同應用進程,端口號范圍為0~65535,其中 1~1023端口號常用。比如:HTTP協議通常使用80端口,DNS協議通常使用53號端口,SSH協議使用22號端口, Telnet協議使用23號端口, TFTP協議使用69號端口,SNMP協議使用161號端口等等,還有更多的端口號并不作為特定的協議使用,而是作為流量轉發時,相互之間交互使用。端口識別技術只檢查數據包端口號,將不同的端口流量進行甄別,并列出,從而知曉流量中都有哪些協議在應用。當然,如果是一些未定義的端口號,則認為是普通數據傳輸應用。顯然,端口識別技術僅能識別TCP和UDP類型報文,并且當業務流量使用動態端口或知名端口進行傳輸,部分數據包如ICMP報文等并沒有端口號,這類流量就無法通過端口識別技術去識別。

深度包識別技術

深度包識別技術即DPI(Deep Packet Inspection),DPI根據協議特征簽名,對數據包的應用層數據進行深度分析,識別出相應協議,協議特征簽名通常表現為數據包出現特定字符串或特定數字。在識別過程中,還可以同時結合數據包首部信息。DPI技術叫深度識別,就是可以做到精確識別,不僅僅分析數據包的淺層信息,并且DPI識別的協議類型更多,很多數據包頭沒有明顯特征,也可以通過DPI技術識別出來。比如:一些視頻語音文件,一些流量的局部微小特征如版本號或者負載大小等。不僅流量特征,DPI還可以作為應用層網關識別和行為模式識別,這類流量已經看不出任何協議特征之處,但通過流量行為或網關識別仍能找出規律。DPI多用于網絡應用層,直接對應用進行識別。在防火墻、OpenDPI、L7-filter、Libprotoident、PACE和NBAR中都有應用。DPI技術可以識別四層到七層的流量特征,從應用層面進行識別,精度高。

深度流識別技術

深度流識別技術即DFI(Deep Flow Inspection),與DPI就差一個字,意義就不同了。DFI是一種基于對網絡流量行為檢測的識別技術,利用流的統計特征進行識別。DFI不需要訪問應用層信息,只需分析流的特征,如分析流的數據包長度規律、接入連接與連出連接的比值,上行流量與下行流量的比值等。例如:網上IP語音流量體現在流狀態上的特征就非常明顯,RTP流的包長相對固定,一般在130~220Byte,連接速率較低,為20~84kbit/s,同時會話持續時間也相對較長,基于P2P下載應用的流量模型的特點為平均包長都在450byte以上,下載時間長,連接速率高。DFI基于這一系列流量的行為特征,建立流量特征模型,鑒別應用類型。當然,絕大部分的應用這類特征并不明顯,DFI技術就無能為力了。

1列了以上三種流量識別技術的對比,各有優缺點,端口識別技術識別速度快,但能夠識別的流量類型比較有限,是二到四層的流量識別技術。DPI和DFI都是四到七層的識別技術。DPI適用于需要精細和準確識別、精細管理的環境,DFI適用于需要高效識別、粗放管理的環境。從處理速度上看,DFI識別速度快,DPI識別速度慢。從維護成本上來看,DFI維護成本低。所以,三種流量技術在識別率、準確率、實時性、可擴展性方面表現均有所不同,對于客戶要看其更注重哪個方面,然后綜合比較,再去選擇相應的流量識別技術部署。 

流量識別的目標是對網絡流量按照協議、應用和WEB服務三個層次進行實時識別,盡可能做到細粒度的分類,為網絡監控提供決策參考。在流量識別的基礎上,網絡監控可以采取多種措施。例如:將占據網絡帶寬大而并不關鍵的應用進行限速,而將更多的網絡資源分給一些重要任務流量上;可以對網絡深層次進行剖析,為檢測網絡中的異常流量提供參考依據,起到防攻擊效果,其實在不少的防火墻上防攻擊的過濾功能就是基于DFI和DPI的識別技術;流量識別可以用于流量計費、提升用戶體驗和保障網絡安全方面,還可以用于日常運維,通過流量識別及早發現網絡流量異動,從而采取保障措施,確保業務不受影響。流量識別技術已經成為數據中心網絡的一項必備功能,在網絡監控中不可缺少。

彩乐乐河南11选5