資料中心網路流量識別技術漫談
流量識別是網路監控的關鍵環節,要對網路進行監控首先要識別,否則監控就無從下手。流量是網路中傳輸資料的重要載體,只有針對流量進行識別,才能根據不同的流量採取不同的監控策略,或是拒絕,或是優化,或是打標,進行優先順序分類等等,所有這一切工作的前提都是先要對流量進行識別。根據乙太網標準定義,各種各樣的流量資料包都是有固定格式的,但種類極其繁多,還有一些攻擊流量,不符合任何標準協議特徵的,所以要將所有的流量識別出來,並分好類絕非易事。比如:有的可以識別出流量中不同的埠號,有的可以識別出流量中不同的IP五元組,有的可以分清以太、非以太流量,是否帶封裝等等,識別流量的側重點不同,識別的深度也各有不同,這一領域的技術也在不斷髮展著,以便適應網路監控的多方面需要。那麼,流量識別有哪些常用技術呢,在日常的網路監控中可以用得上,本文就來說一說。
埠識別技術
埠識別技術是利用IP流量的埠號完成識別過程,前提流量是TCP和UDP型別報文。TCP和UDP採用16位的埠號來區分不同應用程序,埠號範圍為0~65535,其中 1~1023埠號常用。比如:HTTP協議通常使用80埠,DNS協議通常使用53號埠,SSH協議使用22號埠, Telnet協議使用23號埠, TFTP協議使用69號埠,SNMP協議使用161號埠等等,還有更多的埠號並不作為特定的協議使用,而是作為流量轉發時,相互之間互動使用。埠識別技術只檢查資料包埠號,將不同的埠流量進行甄別,並列出,從而知曉流量中都有哪些協議在應用。當然,如果是一些未定義的埠號,則認為是普通資料傳輸應用。顯然,埠識別技術僅能識別TCP和UDP型別報文,並且當業務流量使用動態埠或知名埠進行傳輸,部分資料包如ICMP報文等並沒有埠號,這類流量就無法通過埠識別技術去識別。
深度包識別技術
深度包識別技術即DPI(Deep Packet Inspection),DPI根據協議特徵簽名,對資料包的應用層資料進行深度分析,識別出相應協議,協議特徵簽名通常表現為資料包出現特定字串或特定數字。在識別過程中,還可以同時結合資料包首部資訊。DPI技術叫深度識別,就是可以做到精確識別,不僅僅分析資料包的淺層資訊,並且DPI識別的協議型別更多,很多資料包頭沒有明顯特徵,也可以通過DPI技術識別出來。比如:一些視訊語音檔案,一些流量的區域性微小特徵如版本號或者負載大小等。不僅流量特徵,DPI還可以作為應用層閘道器識別和行為模式識別,這類流量已經看不出任何協議特徵之處,但通過流量行為或閘道器識別仍能找出規律。DPI多用於網路應用層,直接對應用進行識別。在防火牆、OpenDPI、L7-filter、Libprotoident、PACE和NBAR中都有應用。DPI技術可以識別四層到七層的流量特徵,從應用層面進行識別,精度高。
深度流識別技術
深度流識別技術即DFI(Deep Flow Inspection),與DPI就差一個字,意義就不同了。DFI是一種基於對網路流量行為檢測的識別技術,利用流的統計特徵進行識別。DFI不需要訪問應用層資訊,只需分析流的特徵,如分析流的資料包長度規律、接入連線與連出連線的比值,上行流量與下行流量的比值等。例如:網上IP語音流量體現在流狀態上的特徵就非常明顯,RTP流的包長相對固定,一般在130~220Byte,連線速率較低,為20~84kbit/s,同時會話持續時間也相對較長,基於P2P下載應用的流量模型的特點為平均包長都在450byte以上,下載時間長,連線速率高。DFI基於這一系列流量的行為特徵,建立流量特徵模型,鑑別應用型別。當然,絕大部分的應用這類特徵並不明顯,DFI技術就無能為力了。
圖1列了以上三種流量識別技術的對比,各有優缺點,埠識別技術識別速度快,但能夠識別的流量型別比較有限,是二到四層的流量識別技術。DPI和DFI都是四到七層的識別技術。DPI適用於需要精細和準確識別、精細管理的環境,DFI適用於需要高效識別、粗放管理的環境。從處理速度上看,DFI識別速度快,DPI識別速度慢。從維護成本上來看,DFI維護成本低。所以,三種流量技術在識別率、準確率、實時性、可擴充套件性方面表現均有所不同,對於客戶要看其更注重哪個方面,然後綜合比較,再去選擇相應的流量識別技術部署。
流量識別的目標是對網路流量按照協議、應用和WEB服務三個層次進行實時識別,儘可能做到細粒度的分類,為網路監控提供決策參考。在流量識別的基礎上,網路監控可以採取多種措施。例如:將佔據網路頻寬大而並不關鍵的應用進行限速,而將更多的網路資源分給一些重要任務流量上;可以對網路深層次進行剖析,為檢測網路中的異常流量提供參考依據,起到防攻擊效果,其實在不少的防火牆上防攻擊的過濾功能就是基於DFI和DPI的識別技術;流量識別可以用於流量計費、提升使用者體驗和保障網路安全方面,還可以用於日常運維,通過流量識別及早發現網路流量異動,從而採取保障措施,確保業務不受影響。流量識別技術已經成為資料中心網路的一項必備功能,在網路監控中不可缺少。