IP网络应用的日趋丰富,使IT管理人员面对如此纷繁复杂的网络流量常常深感困扰;另一方面巨大的市场需求,推动着流量分析、流量管理技术及产品的发展变化。总体上这类技术的发展变化集中在两个领域内,协议识别、流量管理。对于用户来讲,如何选择和评判一款流量管理产品,也要从这两种流量管理技术入手。
一、流量管理的首要条件——协议识别技术
众所周知,流量管理的首要条件就是协议识别,其准确性直接影响到控制的效果。在IP层或传输层就是依靠源目地址、端口进行识别,比如80端口识别为HTTP,25端口识别为SMTP等等。显然,这种识别方式有两块短板:
1) 不能识别非著名端口的流量,比如使用36520端口的流量;
2) 借用著名端口的流量,比如从80端口传输的P2P下载、在线视频流量。
DPI(“Deep Packet Inspection”)、DFI(“Deep flow Inspection”)技术应运而生,即“深度包检测”和“深度流量检测”。
DPI是一种基于应用层的流量检测和控制技术。通过深入分析和匹配IP包载荷的“特征字”,从应用层识别出数据包的协议类型,采用这种技术突破了上面谈到的两种局限性。例如识别MSN流量的“特征字”:
▲
DFI是一种基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。比如VOIP和P2P两类流量行为的特征:
▲
DPI、DFI也都有各自的优缺点,如果能优势互补,才是比较完善的协议识别机制。
▲
特别需要关注的是,网络应用层协议具有明显的地域性和文化背景,比如国内主流的QQ、迅雷、沸点电视等应用,需要相关产品的厂商投入充足资源跟踪,才有可能准确识别。因此国内的产品和厂商在这方面有得天独厚的优势,比如网康科技和QQSG,据了解,网康科技的应用协议库超过600种,准确率达到95%,远远超过国外其它厂商。