DPI产品及解决方案(V2).ppt

1、IP报文中有IPID标识，每台机器的该标识从0至65535循环，呈递增函数，路由器、NAT和多数代理服务器均不修改该标识，因此可以根据该标识的连续性判断是否是同一台机器。但是用该方法判断的难度在于，机器台数较多时连续性会显得很混乱，会导致准确计算的难度很大。 2、TCP序号类似 3、P2P软件也会带有特别标识 * * * * 一般的网络数据处理，网络接口发送的网络流数据首先要在IP协议栈中进行处理，然后再复制副本转发入用户空间进行处理，同样，用户空间发回的数据同样要到IP协议栈中复制然后处理。 这个过程需要进行两次网络流的复制拷贝，使得系统需要使用较多的时钟周期用于数据的复制和存储。例如，在处理1Gbps的网络流量时，两次拷贝（相当于瞬时处理4Gbps的数据），会造成较大的延迟时间，会对网络应用造成非常大的影响。 有时候，尽管已经采用了流量控制的方案，仍然会感到网络很卡，甚至浏览网页、收发电子邮件都不能正常进行。原因就是流控设备无差别的对不同类别的网络应用流量进行处理，如果数据量比较大的时候，部分网络应用需要等待的时间就会变长。 * 用户行为分析控制--P2P识别技术 用户行为分析控制--P2P识别技术 特征字识别 协议指纹 识别 协议状态机 识别 通信特征 识别 TCP/UDP连接 Drop packt 源端 目的端 将TCP/UDP报文全部丢弃，可阻断源端与目的端的TCP/UDP连接 将TCP报文部分丢弃，可使发送端调整TCP窗口大小，自动降低发送速率，从而降低源端到目的端全路径的发送速率 用户行为分析控制--P2P控制技术（丢弃/部分丢弃） 源端 目的端 建立连接 TCP Rst或ICMP Unreachable TCP Rst或ICMP Unreachable 阻断TCP连接 伪造TCP Reset报文，向源和目的端分别发送 阻断UDP连接 伪造ICMP Unreachable报文，向源端发送 有可能被用户防火墙拦截而失效 用户行为分析控制--P2P控制技术（阻断TCP/UDP连接） 实现机制 采用Traffic shaping的方式限制应用业务流量 采用scheduling保证业务流量的优先转发 高等级业务流量（重要客户、关键业务）优先转发 低等级业务按照比例分配带宽资源 用户行为分析控制--流控制技术（QOS） 用户行为分析控制—双速网技术 校园内网 Internet 20M 4M 链路选择与带宽分配 能根据源IP地址、目标IP地址划分用户组，能为同一个用户访问不同的目的地址分配多种带宽； 能实现正向和反向NAT功能，实现多网搭桥功能； 能为不同的网络应用设置优先级，从而充分利用宝贵的带宽，减缓核心网的扩容压力 能分时段进行不同策略进行控制，便于为不同的用户提供差异化的功能； 管控精细 高精度的三维矩阵控制：最小控制颗粒度可精细到四个“一”，即：一个IP（网络用户）、一种协议、一个时间段内、一个策略。 全面灵活的用户分组：可以支持多种方式单独划分控制对象，也支持混合方式划分控制对象。划分条件可以是源/目标IP信息（地址段、地址范围、单个地址）、链路、用户组、用户ID、源/目标MAC地址、物理端口地址等。 灵活的协议分组：用户可以自行定义协议的分组，并且可以根据协议特征字、协议端口自行添加协议，创建用户自己规划的协议分组进行相应的流量控制或者保护。支持将同类协议设置为协议组，支持将协议或协议组划分成通道（即虚拟的网络流量通道——VC），虚拟通道可以应用各种控制策略。并且支持单个IP多个微通道，自定义微通道协议组，微通道带宽限制。 极强的协议识别能力，协议库长期更新可保证90%以上的识别率，现网测试情况下，识别率可达95%-97%。 用户行为分析控制--产品优势及特点 高安全性 用户行为分析控制主要以透明网桥形式部署，无需增加其他设备，不会改变现网结构。支持Bypass旁路保护系统，满足安全性要求高的用户需求。扩展时，按照线路进行设备的增加即可，对于多设备应用的情况，提供统一的管理平台，方便用户进行管理。 用户行为分析控制--产品优势及特点 背景描述 需要检测手段 运营商迫切需要一种能快速、简便有效监测与打击的手段。 级联现象严重 随着宽带用户数量的不断增长，违规宽带级联现象日益严重。 止损增收 部署本系统，运营商可减少宽带接入费用损失，增加宽带接入收益。 宽带收入损失 级联现象屡禁不止给电信运营商造成了巨大损失。 共享检测 共享检测--产品优势及特点 共享检测系统设计中遵循下面几个基本原则： 实时分析与控制 高效率、高准确度、高可靠性 部署方便、易于使用 满足电信运营级所需要的高性能、高伸缩性和稳定性 不对用户造成负面影响 共享检测--工作原理 基本原理是根据上网时用户流量中的包头字段、