数据中心网络流量识别技术
- 2022/9/19 7:26:41 作者: 来源:站长文摘
-
流量识别是网络监控的关键环节,要对网络进行监控首先要识别,否则监控就无从下手。流量是网络中传输数据的重要载体,只有针对流量进行识别,才能根据不同的流量采取不同的监控策略,或是拒绝,或是优化,或是打标,进行优先级分类等等,所有这一切工作的前提都是先要对流量进行识别。
流量识别是网络监控的关键环节,要对网络进行监控首先要识别,否则监控就无从下手。流量是网络中传输数据的重要载体,只有针对流量进行识别,才能根据不同的流量采取不同的监控策略,或是拒绝,或是优化,或是打标,进行优先级分类等等,所有这一切工作的前提都是先要对流量进行识别。根据以太网标准定义,各种各样的流量数据包都是有固定格式的,但种类极其繁多,还有一些攻击流量,不符合任何标准协议特征的,所以要将所有的流量识别出来,并分好类绝非易事。比如:有的可以识别出流量中不同的端口号,有的可以识别出流量中不同的IP五元组,有的可以分清以太、非以太流量,是否带封装等等,识别流量的侧重点不同,识别的深度也各有不同,这一领域的技术也在不断发展着,以便适应网络监控的多方面需要。
那么,流量识别有哪些常用技术呢,在日常的网络监控中可以用得上,本文就来说一说。
端口识别技术
端口识别技术是利用IP流量的端口号完成识别过程,前提流量是TCP和UDP类型报文。TCP和UDP采用16位的端口号来区分不同应用进程,端口号范围为0~65535,其中1~1023端口号常用。比如:HTTP协议通常使用80端口,DNS协议通常使用53号端口,SSH协议使用22号端口,Telnet协议使用23号端口,TFTP协议使用69号端口,SNMP协议使用161号端口等等,还有更多的端口号并不作为特定的协议使用,而是作为流量转发时,相互之间交互使用。端口识别技术只检查数据包端口号,将不同的端口流量进行甄别,并列出,从而知晓流量中都有哪些协议在应用。当然,如果是一些未定义的端口号,则认为是普通数据传输应用。显然,端口识别技术仅能识别TCP和UDP类型报文,并且当业务流量使用动态端口或知名端口进行传输,部分数据包如ICMP报文等并没有端口号,这类流量就无法通过端口识别技术去识别。
深度包识别技术
深度包识别技术即DPI(DeepPacketInspection),DPI根据协议特征签名,对数据包的应用层数据进行深度分析,识别出相应协议,协议特征签名通常表现为数据包出现特定字符串或特定数字。在识别过程中,还可以同时结合数据包首部信息。DPI技术叫深度识别,就是可以做到精确识别,不仅仅分析数据包的浅层信息,并且DPI识别的协议类型更多,很多数据包头没有明显特征,也可以通过DPI技术识别出来。比如:一些视频语音文件,一些流量的局部微小特征如版本号或者负载大小等。不仅流量特征,DPI还可以作为应用层网关识别和行为模式识别,这类流量已经看不出任何协议特征之处,但通过流量行为或网关识别仍能找出规律。DPI多用于网络应用层,直接对应用进行识别。在防火墙、OpenDPI、L7-filter、Libprotoident、PACE和NBAR中都有应用。DPI技术可以识别四层到七层的流量特征,从应用层面进行识别,精度高。
深度流识别技术
深度流识别技术即DFI(DeepFlowInspection),与DPI就差一个字,意义就不同了。DFI是一种基于对网络流量行为检测的识别技术,利用流的统计特征进行识别。DFI不需要访问应用层信息,只需分析流的特征,如分析流的数据包长度规律、接入连接与连出连接的比值,上行流量与下行流量的比值等。例如:网上IP语音流量体现在流状态上的特征就非常明显,RTP流的包长相对固定,一般在130~220Byte,连接速率较低,为20~84kbit/s,同时会话持续时间也相对较长,基于P2P下载应用的流量模型的特点为平均包长都在450byte以上,下载时间长,连接速率高。DFI基于这一系列流量的行为特征,建立流量特征模型,鉴别应用类型。当然,绝大部分的应用这类特征并不明显,DFI技术就无能为力了。
图1列了以上三种流量识别技术的对比,各有优缺点,端口识别技术识别速度快,但能够识别的流量类型比较有限,是二到四层的流量识别技术。DPI和DFI都是四到七层的识别技术。DPI适用于需要精细和准确识别、精细管理的环境,DFI适用于需要高效识别、粗放管理的环境。从处理速度上看,DFI识别速度快,DPI识别速度慢。从维护成本上来看,DFI维护成本低。所以,三种流量技术在识别率、准确率、实时性、可扩展性方面表现均有所不同,对于客户要看其更注重哪个方面,然后综合比较,再去选择相应的流量识别技术部署。
流量识别的目标是对网络流量按照协议、应用和WEB服务三个层次进行实时识别,尽可能做到细粒度的分类,为网络监控提供决策参考。在流量识别的基础上,网络监控可以采取多种措施。例如:将占据网络带宽大而并不关键的应用进行限速,而将更多的网络资源分给一些重要任务流量上;可以对网络深层次进行剖析,为检测网络中的异常流量提供参考依据,起到防攻击效果,其实在不少的防火墙上防攻击的过滤功能就是基于DFI和DPI的识别技术;流量识别可以用于流量计费、提升用户体验和保障网络安全方面,还可以用于日常运维,通过流量识别及早发现网络流量异动,从而采取保障措施,确保业务不受影响。流量识别技术已经成为数据中心网络的一项必备功能,在网络监控中不可缺少。
编辑:Harris
流量识别是网络监控的关键环节,要对网络进行监控首先要识别,否则监控就无从下手。流量是网络中传输数据的重要载体,只有针对流量进行识别,才能根据不同的流量采取不同的监控策略,或是拒绝,或是优化,或是打标,进行优先级分类等等,所有这一切工作的前提都是先要对流量进行识别。