53

数据中心网络流量识别技术漫谈

 5 years ago
source link: http://www.d1net.com/datacenter/tech/543169.html?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

流量识别是网络监控的关键环节,要对网络进行监控首先要识别,否则监控就无从下手。流量是网络中传输数据的重要载体,只有针对流量进行识别,才能根据不同的流量采取不同的监控策略,或是拒绝,或是优化,或是打标,进行优先级分类等等,所有这一切工作的前提都是先要对流量进行识别。根据以太网标准定义,各种各样的流量数据包都是有固定格式的,但种类极其繁多,还有一些攻击流量,不符合任何标准协议特征的,所以要将所有的流量识别出来,并分好类绝非易事。比如:有的可以识别出流量中不同的端口号,有的可以识别出流量中不同的IP五元组,有的可以分清以太、非以太流量,是否带封装等等,识别流量的侧重点不同,识别的深度也各有不同,这一领域的技术也在不断发展着,以便适应网络监控的多方面需要。那么,流量识别有哪些常用技术呢,在日常的网络监控中可以用得上,本文就来说一说。

端口识别技术

端口识别技术是利用IP流量的端口号完成识别过程,前提流量是TCP和UDP类型报文。TCP和UDP采用16位的端口号来区分不同应用进程,端口号范围为0~65535,其中 1~1023端口号常用。比如:HTTP协议通常使用80端口,DNS协议通常使用53号端口,SSH协议使用22号端口, Telnet协议使用23号端口, TFTP协议使用69号端口,SNMP协议使用161号端口等等,还有更多的端口号并不作为特定的协议使用,而是作为流量转发时,相互之间交互使用。端口识别技术只检查数据包端口号,将不同的端口流量进行甄别,并列出,从而知晓流量中都有哪些协议在应用。当然,如果是一些未定义的端口号,则认为是普通数据传输应用。显然,端口识别技术仅能识别TCP和UDP类型报文,并且当业务流量使用动态端口或知名端口进行传输,部分数据包如ICMP报文等并没有端口号,这类流量就无法通过端口识别技术去识别。

深度包识别技术

深度包识别技术即DPI(Deep Packet Inspection),DPI根据协议特征签名,对数据包的应用层数据进行深度分析,识别出相应协议,协议特征签名通常表现为数据包出现特定字符串或特定数字。在识别过程中,还可以同时结合数据包首部信息。DPI技术叫深度识别,就是可以做到精确识别,不仅仅分析数据包的浅层信息,并且DPI识别的协议类型更多,很多数据包头没有明显特征,也可以通过DPI技术识别出来。比如:一些视频语音文件,一些流量的局部微小特征如版本号或者负载大小等。不仅流量特征,DPI还可以作为应用层网关识别和行为模式识别,这类流量已经看不出任何协议特征之处,但通过流量行为或网关识别仍能找出规律。DPI多用于网络应用层,直接对应用进行识别。在防火墙、OpenDPI、L7-filter、Libprotoident、PACE和NBAR中都有应用。DPI技术可以识别四层到七层的流量特征,从应用层面进行识别,精度高。

深度流识别技术

深度流识别技术即DFI(Deep Flow Inspection),与DPI就差一个字,意义就不同了。DFI是一种基于对网络流量行为检测的识别技术,利用流的统计特征进行识别。DFI不需要访问应用层信息,只需分析流的特征,如分析流的数据包长度规律、接入连接与连出连接的比值,上行流量与下行流量的比值等。例如:网上IP语音流量体现在流状态上的特征就非常明显,RTP流的包长相对固定,一般在130~220Byte,连接速率较低,为20~84kbit/s,同时会话持续时间也相对较长,基于P2P下载应用的流量模型的特点为平均包长都在450byte以上,下载时间长,连接速率高。DFI基于这一系列流量的行为特征,建立流量特征模型,鉴别应用类型。当然,绝大部分的应用这类特征并不明显,DFI技术就无能为力了。

图1列了以上三种流量识别技术的对比,各有优缺点,端口识别技术识别速度快,但能够识别的流量类型比较有限,是二到四层的流量识别技术。DPI和DFI都是四到七层的识别技术。DPI适用于需要精细和准确识别、精细管理的环境,DFI适用于需要高效识别、粗放管理的环境。从处理速度上看,DFI识别速度快,DPI识别速度慢。从维护成本上来看,DFI维护成本低。所以,三种流量技术在识别率、准确率、实时性、可扩展性方面表现均有所不同,对于客户要看其更注重哪个方面,然后综合比较,再去选择相应的流量识别技术部署。

7zEFj23.jpg!web

流量识别的目标是对网络流量按照协议、应用和WEB服务三个层次进行实时识别,尽可能做到细粒度的分类,为网络监控提供决策参考。在流量识别的基础上,网络监控可以采取多种措施。例如:将占据网络带宽大而并不关键的应用进行限速,而将更多的网络资源分给一些重要任务流量上;可以对网络深层次进行剖析,为检测网络中的异常流量提供参考依据,起到防攻击效果,其实在不少的防火墙上防攻击的过滤功能就是基于DFI和DPI的识别技术;流量识别可以用于流量计费、提升用户体验和保障网络安全方面,还可以用于日常运维,通过流量识别及早发现网络流量异动,从而采取保障措施,确保业务不受影响。流量识别技术已经成为数据中心网络的一项必备功能,在网络监控中不可缺少。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK