深度数据包检测 (DPI) 是一种分析通过网络发送的流量的高级方法。DPI 使用数据处理来检查数据包的特定细节,作为数据包过滤的一种形式。
虽然 DPI 用于查看 OSI 模型的第 2-7 层,但仅当设备可以查看并根据第 3 层或更高层采取行动时,它才被视为启用了 DPI。
通过检查数据包的独特特征(例如标头、协议字段、有效负载和其他数据),DPI 可以识别、重定向、确定优先级,甚至阻止满足特定标准的数据包。
为什么使用DPI
因为深度数据包检测能够确定消息的内容,它可以识别出消息源自的特定应用程序或服务。
当数据包通过给定的检查点时,DPI 有助于根据网络管理员、组织或 Internet 服务提供商 (ISP) 指定的策略做出实时路由决策。这有利于网络流量管理和网络安全。
用于网络流量管理的深度数据包检测
DPI 可用于简化网络上的流量,以提高网络的性能。例如,如果关键业务数据包被标记为高优先级,DPI 可以让它们优先于那些不太重要的数据包,并确保它们立即被转发到目的地。此外,DPI 可以通过识别特定传输类型并确定其优先级来限制数据传输。
管理人员还可以利用 DPI 来控制工作人员可以访问哪些应用程序。通过设置过滤器来检测或重新路由来自特定 IP 地址范围或某些在线服务的网络流量,DPI 可以阻止违反公司政策或妨碍生产力的未经授权的应用程序。
用于网络安全的深度数据包检测
DPI 也是网络安全的重要组成部分,因为它有助于检测网络层的威胁和入侵。通过搜索和拦截恶意流量、垃圾邮件和协议不合规,DPI 可以防止恶意软件和病毒在整个网络中传播。
例如,DPI 通常包含在防火墙中,以识别和阻止来自特定 IP 的数据包,以防止缓冲区溢出、DDoS 攻击和各种其他威胁。不幸的是,将 DPI 添加到防火墙设备通常会导致性能下降,从而导致网络瓶颈和延迟增加。
DPI 的其他用途
许多网络服务提供商 (NSP) 和运营商都需要拥有 DPI 引擎,以便在收到搜查令时向执法部门提供互联网通信。使用支持 DPI 的设备,服务提供商可以识别来自特定用户的流量,并仅向执法部门提供信令信息或应用程序的特定内容。
Netflix 和 Amazon Prime 等 OTT 平台通常与 NSP 合作,以确保其流量在网络上获得优先权。通过实施 DPI,NSP 可以准确记录有多少用户正在观看以及哪些流量具有多少优先级,因此他们可以轻松计算任何收益分成。
DPI 还可用于缓解 DDoS 攻击。当人们在闭路电视和 Wi-Fi 路由器等设备上留下默认用户名和密码时,他们很容易成为黑客攻击的目标。通过将数以千计的此类设备转换为自动化机器人,攻击者可以一次用数以千计的请求淹没一个网站。DPI 可以识别像这样到达特定目的地的峰值并触发 DDoS 缓解。
性能测试启用 DPI 的设备
由于DPI在网络流量管理和网络安全中起着至关重要的作用,因此测试DPI功能至关重要。流量生成器在验证设备的DPI功能的准确性和性能方面尤为重要。通过在发送各种帧大小的良好和恶意流量时分析吞吐量和丢包测试,流量生成器可以帮助您优化启用DPI的设备的性能。
有两种使用流量生成器测试DPI的方法。您可以捕获网络上的真实流量,并将其放大到非常高的规模,以测量启用DPI的设备可以成功管理的最大负载。或者,选择具有应用程序流库的流量生成器,并选择各种流量通过您的设备发送,以确定DPI是否阻止恶意流量并为其他应用程序提供正确的优先级。
下图显示了启用 DPI 的防火墙的测试设置示例:
