摘要:DPI在國內(nèi)典型的應(yīng)用就是P2P流量識別與控制、VoIP業(yè)務(wù)檢測與控制。事實上基于應(yīng)用層協(xié)議分析的DPI,適用于幾乎全部的互聯(lián)網(wǎng)應(yīng)用層業(yè)務(wù)識別、流量分析和業(yè)務(wù)控制。若通過北向接口與BOSS系統(tǒng)加以關(guān)聯(lián),就可以組建一套完整的客戶行為分析系統(tǒng)和IP業(yè)務(wù)差異化服務(wù)控制系統(tǒng)。本文主要討論DPI的應(yīng)用現(xiàn)狀和發(fā)展思路。
關(guān)鍵詞:DPI 業(yè)務(wù)識別 流量分析 業(yè)務(wù)控制 客戶行為分析 差異化服務(wù)
1.DPI技術(shù)用于區(qū)分比特的顏色
“一個短信,幾十個字節(jié),1毛錢一條,每年收入約300億元;而一部電影占據(jù)高達幾個G的字節(jié),只收幾毛錢,卻很少有人愿意支付。”【1】 2007年6月中國電信韋樂平總工在談到固網(wǎng)轉(zhuǎn)型面臨的挑戰(zhàn)時這樣表示到,他把原因歸結(jié)為短信是連接型業(yè)務(wù),包括電話、VPN等連接型業(yè)務(wù)都是具有賣點的贏利業(yè)務(wù);而視頻等內(nèi)容型業(yè)務(wù)盡管吃帶寬很高,產(chǎn)生收入的能力卻很弱。這個問題事實上涉及到了互聯(lián)網(wǎng)和電信網(wǎng)的特性差異(開放性與封閉性)和收費模式差異(包月制與按流量收費)問題。表現(xiàn)出來就是:互聯(lián)網(wǎng)精神倡導“我的地盤我做主”、“不知道對端是一個人還是一條狗”;電信網(wǎng)的特征是“用戶可識別、業(yè)務(wù)可區(qū)分、質(zhì)量可控制、網(wǎng)絡(luò)可管理”。改變這個現(xiàn)狀的技術(shù)和政策焦點就是:
比特到底有沒有顏色,能不能區(qū)分出來?
運營商到底能不能找到更好的手段控制和管理互聯(lián)網(wǎng)絡(luò)?
運營商到底能在多大程度上(涉及授權(quán)問題)來對網(wǎng)絡(luò)進行監(jiān)視和控制?
如果一定要從互聯(lián)網(wǎng)這個透明管道里根據(jù)不同業(yè)務(wù)區(qū)分出比特的顏色來,如P2P、VoIP、HTTP、FTP等,那么這個任務(wù)就是由IP業(yè)務(wù)識別與控制系統(tǒng)(DPI)來完成的。DPI能夠分辨具體用戶、具體應(yīng)用的數(shù)據(jù)流,從而可以對用戶的應(yīng)用部署QoS、安全及其它策略。DPI可以幫助實現(xiàn)對網(wǎng)絡(luò)內(nèi)部奧秘的透視性和對網(wǎng)絡(luò)資源的控制。運營商如果無法了解網(wǎng)絡(luò),那么也無法控制網(wǎng)絡(luò)。DPI提供了這樣的手段,可以分辨出經(jīng)過網(wǎng)絡(luò)的任何流量,以決定對這些流量的控制策略。
Cisco認為“一旦運營者完全掌握、了解了網(wǎng)絡(luò)之后,就需要挖掘網(wǎng)絡(luò)的潛力以創(chuàng)造更多收入,DPI系統(tǒng)可以做為一種工具來發(fā)現(xiàn)更多的業(yè)務(wù)機會。將來并不是簡單地推出基于速率分級的業(yè)務(wù),而是完全基于應(yīng)用的業(yè)務(wù)等級,使用DPI系統(tǒng)在實現(xiàn)基于限額帶寬、基于站點計費后,可以推出基于內(nèi)容收費的業(yè)務(wù)。”
圖1 DPI技術(shù)應(yīng)用系統(tǒng)組成示意圖
Cisco的Gadekar認為DPI的部署有三個階段:第一階段是“網(wǎng)絡(luò)應(yīng)用分析”,這個階段運營商可以對網(wǎng)絡(luò)有更深入的了解,這樣DPI可以以旁路(passive)模式部署,而無需串接部署,部署在全局就可以。第二個階段是全局流量優(yōu)化和流量管理,通過提高互動性應(yīng)用的優(yōu)先級、降低“帶寬殺手”的優(yōu)先級。這個階段,DPI部署在網(wǎng)絡(luò)邊緣,在匯聚設(shè)備后面,例如BRAS。第三個階段,這將是每個運營商的最終目標,可以動態(tài)地訂制某些業(yè)務(wù)。需要支持不同的計費模式、業(yè)務(wù)生成,DPI解決方案一般都會跟AAA服務(wù)器、策略服務(wù)器、計費系統(tǒng)緊密集成(見圖1)。這是DPI+PS的階段,用以實現(xiàn)按業(yè)務(wù)內(nèi)容、按用戶使用情況計費。
圖2 按業(yè)務(wù)內(nèi)容計費模型
中國電信從2005年就開始了DPI的現(xiàn)場測試,中國網(wǎng)通亦于2007年9月發(fā)布了企業(yè)標準“IP業(yè)務(wù)識別與控制系統(tǒng)”。
比較戲劇性的事情是,不測不知道,一測嚇一跳,中國電信和中國網(wǎng)通測試后發(fā)現(xiàn)在IP網(wǎng)絡(luò)的各種流量中,P2P占了大約一半。例如實測到某光纖+LAN用戶2天內(nèi)總計下載了90GB、上傳了109GB文件;經(jīng)估算, 平均7%左右的用戶使用P2P應(yīng)用占用了總帶寬的46.2%, 下行帶寬的37.9%, 上行帶寬的66.6%。
難怪2003年前后ADSL個人業(yè)務(wù)開通后城域網(wǎng)帶寬就一直被塞得滿滿的,原來都是P2P惹的禍。其中居前兩位的P2P下載協(xié)議分別是BitTorrent和eDonkey/eMule,當時的檢測設(shè)備已經(jīng)具備了對識別出來的P2P進行限制的手段,如限制會話連接數(shù)、P2P帶寬等。
于是就出現(xiàn)了后來大家看到的2006-2007年國內(nèi)吵的沸沸揚揚的P2P封殺之爭,爭論的焦點是運營商到底有沒有權(quán)利管制P2P流量,結(jié)論是沒有,所以各地的封殺舉措不得不停下來。
圖3 P2P流量約占一半,且限制后大幅減少
但對于VoIP就是另外一回事了。我國對涉及PSTN落地的VoIP實行嚴加管制政策,2005年7月18日信產(chǎn)部下發(fā)各地通信管理局和運營商總部的電函(2005)413號《通知》里明確要求:除中國電信和中國網(wǎng)通能夠在部分地區(qū)(中國電信用戶:廣東深圳、江西上饒;中國網(wǎng)通:吉林長春、山東泰安)進行PC-Phone方式IP電話商用試驗外,任何單位和個人都不得從事這項業(yè)務(wù)。因此運營商封堵非法VoIP是名正言順的。從效果上來看,在國內(nèi)傳統(tǒng)的網(wǎng)管和信令分析廠商的針對性開發(fā)下,技術(shù)成熟的非?,VoIP識別率已經(jīng)高到足夠?qū)崿F(xiàn)封堵的目的。
圖4 VoIP檢測技術(shù)趨于成熟
2.DPI的實現(xiàn)機理[2]
DPI全稱為“Deep Packet Inspection”,稱為“深度包檢測”。所謂“深度”是和普通的報文分析層次相比較而言的,“普通報文檢測”僅分析IP包的4層以下的內(nèi)容,包括源地址、目的地址、源端口、目的端口以及協(xié)議類型,而DPI 除了對前面的層次分析外,還增加了應(yīng)用層分析,識別各種應(yīng)用及其內(nèi)容。
圖5 DPI檢測的內(nèi)容范圍
普通報文檢測是通過端口號來識別應(yīng)用類型的。如檢測到端口號為80時,則認為該應(yīng)用代表著普通上網(wǎng)應(yīng)用。而當前網(wǎng)絡(luò)上的一些應(yīng)用會采用隱藏或假冒端口號的方式躲避檢測和監(jiān)管,造成仿冒合法報文的數(shù)據(jù)流侵蝕著網(wǎng)絡(luò),例如P2P下載軟件eMule大多采用動態(tài)協(xié)商端口機制。此時采用L2~L4層的傳統(tǒng)檢測方法已無能為力了。DPI 技術(shù)就是通過對應(yīng)用流中的數(shù)據(jù)報文內(nèi)容進行探測,從而確定數(shù)據(jù)報文的真正應(yīng)用。因為非法應(yīng)用可以隱藏端口號,但目前較難以隱藏應(yīng)用層的協(xié)議特征。DPI的識別技術(shù)可以分為以下幾大類:
(1)基于“特征字”的識別技術(shù):不同的應(yīng)用通常依賴于不同的協(xié)議,而不同的協(xié)議都有其特殊的指紋,這些指紋可能是特定的端口、特定的字符串或者特定的bit 序列;“特征字”的識別技術(shù)通過對業(yè)務(wù)流中特定數(shù)據(jù)報文中的“指紋”信息的檢測以確定業(yè)務(wù)流承載的應(yīng)用。根據(jù)具體檢測方式的不同,基于“特征字”的識別技術(shù)又可以被分為固定位置特征字匹配、變動位置的特征匹配以及狀態(tài)特征匹配三種技術(shù)。通過對“指紋”信息的升級,基于特征的識別技術(shù)可以很方便的進行功能擴展,實現(xiàn)對新協(xié)議的檢測。
DPI的關(guān)鍵在于,它要不斷地在格式不定的數(shù)據(jù)包中判斷出各種特征字,實現(xiàn)這一過程的基礎(chǔ)技術(shù)就是模式匹配(Pattern-Matching)。通俗地講,就是字符串匹配,即從數(shù)據(jù)中搜索是否存在目標字符串。通常,目標字符串采用正則表達式(Regular Expression)標準語法來描述。
例如:Bittorrent 協(xié)議的識別,通過反向工程的方法對其對等協(xié)議進行分析,所謂對等協(xié)議指的是peer與peer之間交換信息的協(xié)議。對等協(xié)議由一個握手開始,后面是循環(huán)的消息流,每個消息的前面,都有一個數(shù)字來表示消息的長度。在其握手過程中,首先是發(fā)送19,跟著是字符串“BitTorrent protocol”。那么“19BitTorrent Protocol”就是Bittorrent的“特征字”。
(2)應(yīng)用層網(wǎng)關(guān)識別技術(shù):某些業(yè)務(wù)的控制流和業(yè)務(wù)流是分離的,業(yè)務(wù)流沒有任何特征。這種情況下,我們就需要采用應(yīng)用層網(wǎng)關(guān)識別技術(shù)。應(yīng)用層網(wǎng)關(guān)需要先識別出控制流,并根據(jù)控制流的協(xié)議通過特定的應(yīng)用層網(wǎng)關(guān)對其進行解析,從協(xié)議內(nèi)容中識別出相應(yīng)的業(yè)務(wù)流。對于每一個協(xié)議,需要有不同的應(yīng)用層網(wǎng)關(guān)對其進行分析。如SIP、H323協(xié)議都屬于這種類型。SIP/H323通過信令交互過程,協(xié)商得到其數(shù)據(jù)通道,一般是RTP格式封裝的語音流。也就是說,純粹檢測RTP流并不能得出這條RTP流是通過哪種協(xié)議建立的。只有通過檢測SIP/H323的協(xié)議交互,才能得到其完整的分析。
(3)行為模式識別技術(shù):行為模式識別技術(shù)基于對終端已經(jīng)實施的行為的分析,判斷出用戶正在進行的動作或者即將實施的動作。行為模式識別技術(shù)通常用于無法根據(jù)協(xié)議判斷的業(yè)務(wù)的識別。例如:SPAM(垃圾郵件)業(yè)務(wù)流和普通的Email業(yè)務(wù)流從Email的內(nèi)容上看是完全一致的,只有通過對用戶行為的統(tǒng)計和分析,才能夠準確的識別出SPAM業(yè)務(wù)。
作者:王鋒 來源:流媒體網(wǎng)