DPI
DPI是Deep Packet Inspection的缩写,全称深度包检测,是对数据包负载进行实时分析的一类技术的总称,它的其中一种应用是对流量进行分类。
在互联网发展的早期,每一种协议或者应用都和一个端口关联。比如当我们说80端口时,我们指的就是HTTP协议。但是,端口和协议的关联并不是强制性的,而只是大家约定的共识。后来,许多新出现的协议都没有再和一个固定的端口关联,有的协议为了绕过防火墙的管控,会直接使用HTTP协议来传输。对于网络的监控和管理来说,识别当前流量中有哪些应用和协议,从而采取进一步动作——记录日志或者阻断连接——就变成了一件非常困难的事情。
为了识别流量的类型,DPI技术应运而生,它有三种基本的实现思路:
- 基于特征的。这种方式主要是使用模式匹配来匹配协议中的关键字。比如,通过GET/POST关键字来匹配HTTP协议。
- 基于语义的。这种方式主要是通过尝试不同的协议规范来解码数据包,从而确定它是哪一种协议。其中又可以分为不同层级,因为有些协议是借助其它协议来传输的。比如,许多P2P协议通常会使用HTTP协议。
- 基于统计的。这种方式主要是针对加密数据,因为它能被观测到的信息只有数据包数、大小以及建立加密连接时的过程和参数。
基于特征的实现不能很好地应对协议中有编码的情况,从而造成漏报。基于统计的则有很高的误报率。所以,nDPI采用的是基于语义的实现方式。
OpenDPI
因为nDPI是在OpenDPI的基础上开发的,所以有必要先介绍一下OpenDPI。
OpenDPI是少有的几个开源DPI库之一,使用的是C语言,现在已经没有人维