深度數(shù)據(jù)包分析（deep packet analysis，DPA）是一種在防火墻中特別有用的網(wǎng)絡(luò)方法。近年來，DPA的使用有所增加，因?yàn)樗梢杂米魅肭謾z測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）的一部分。

傳統(tǒng)上，防火墻阻止對網(wǎng)絡(luò)的訪問。防火墻中的過濾器還可以通過檢查數(shù)據(jù)包標(biāo)頭中包含的目標(biāo)IP地址來阻止對網(wǎng)站列表的訪問。檢查IP頭的網(wǎng)關(guān)的進(jìn)步是“有狀態(tài)”防火墻。它們檢查TCP或UDP標(biāo)頭，它們包含在IP數(shù)據(jù)包中。狀態(tài)包檢測也稱為淺包檢測。深度數(shù)據(jù)包檢查會查看數(shù)據(jù)包的數(shù)據(jù)有效負(fù)載。

淺包檢查會檢查網(wǎng)關(guān)處理的各個(gè)數(shù)據(jù)包，并有選擇地丟棄不符合網(wǎng)絡(luò)安全策略的傳出請求或傳入數(shù)據(jù)包。深度數(shù)據(jù)包檢查收集要作為一個(gè)組進(jìn)行檢查的數(shù)據(jù)包，因此在收集副本進(jìn)行分析時(shí)，常規(guī)流量將繼續(xù)進(jìn)行。這就是DPI通常被稱為“深度數(shù)據(jù)包檢測”的原因。深度數(shù)據(jù)包檢查比淺層數(shù)據(jù)包檢查需要更長的時(shí)間。

[[241525]]

深度數(shù)據(jù)包分析的好處

入侵檢測系統(tǒng)在數(shù)據(jù)流量中尋找“簽名”以識別不規(guī)則活動。黑客用來繞過這些簽名檢測系統(tǒng)的一個(gè)技巧是將數(shù)據(jù)包分成更小的段。這會混過淺層數(shù)據(jù)包分析所尋找的模式，因此沒有一個(gè)數(shù)據(jù)包包含簽名，攻擊就會通過。深度數(shù)據(jù)包分析重新組合來自同一源的數(shù)據(jù)包流，因此即使分布在多個(gè)傳入數(shù)據(jù)包上，也可以檢測到攻擊特征。

當(dāng)深度數(shù)據(jù)包分析是入侵防御系統(tǒng)的一部分時(shí)，正在進(jìn)行的分析結(jié)果會生成并應(yīng)用操作來自動保護(hù)系統(tǒng)。這樣的動作可以包括阻止從特定源IP地址或甚至一系列地址到達(dá)的所有分組。

攻擊檢測

數(shù)據(jù)包的收集使DPI能夠識別有狀態(tài)分析可能遺漏的攻擊類型。這些示例包括不規(guī)范的使用標(biāo)準(zhǔn)網(wǎng)絡(luò)實(shí)用程序（如Powershell或WMI）和定向卷過載（如緩沖區(qū)溢出攻擊）。在病毒感染或間諜軟件操作中使用常規(guī)系統(tǒng)實(shí)用程序，意味著無法執(zhí)行已知黑客使用的應(yīng)用程序的禁令。這是因?yàn)檫@些系統(tǒng)實(shí)用程序?qū)τ谙蚝戏ㄓ脩籼峁?yīng)用程序和服務(wù)至關(guān)重要。因此，深度數(shù)據(jù)包分析步驟檢查這些系統(tǒng)服務(wù)的使用模式使用情況，并有選擇地根除顯示可疑行為的流量。因此，即使最初看起來是合法的流量，也可以識別惡意活動。

數(shù)據(jù)泄漏防護(hù)

數(shù)據(jù)泄漏防護(hù)是深度數(shù)據(jù)包分析的另一種用途。這采用白名單方法。公司可以制定一項(xiàng)政策，不允許任何人將數(shù)據(jù)復(fù)制到USB或發(fā)送電子郵件附件。但是有合理的情況需要這樣的行動。在這種情況下，將通知DPI以允許通過否則將被視為未授權(quán)活動的內(nèi)容。不應(yīng)該允許該用戶發(fā)送任何文件，因此DPI功能會持續(xù)監(jiān)視活動以阻止授權(quán)附件以外的文件傳輸。

實(shí)施深度包分析

現(xiàn)在，復(fù)雜的網(wǎng)絡(luò)監(jiān)控系統(tǒng)包括深度數(shù)據(jù)包分析程序。因此，你可以將此工具作為常規(guī)網(wǎng)絡(luò)管理軟件的一部分。一些軟件提供商生產(chǎn)包含深度數(shù)據(jù)包分析的網(wǎng)絡(luò)防御軟件。以下是7個(gè)深度數(shù)據(jù)包分析工具：

1.Paessler PRTG(免費(fèi)試用)

Paessler PRTG系統(tǒng)是一個(gè)全面的網(wǎng)絡(luò)監(jiān)控工具，在其數(shù)據(jù)收集過程中包括深度數(shù)據(jù)包檢測。PRTG的數(shù)據(jù)包嗅探器分析特定的流量類型，以監(jiān)控資源使用情況和不規(guī)則活動。監(jiān)控報(bào)告這些流量類型及其吞吐量，包括Web流量，郵件服務(wù)器活動和文件傳輸。這些控件對于實(shí)施郵件和數(shù)據(jù)安全策略非常有用，它們可以讓你發(fā)現(xiàn)可能是入侵或網(wǎng)絡(luò)攻擊跡象的流量激增。

如果你對使用深度數(shù)據(jù)包分析進(jìn)行安全性特別感興趣，那么你將獲得有關(guān)DHCP，DNS和ICMP流量的信息。

PRTG儀表板中的數(shù)據(jù)包傳感器頁面具有提供可視化圖形，可幫助你快速了解流量數(shù)據(jù)。

Paessler PRTG可以安裝在Windows上，并且有一個(gè)適用于小型網(wǎng)絡(luò)的免費(fèi)版本。這將涵蓋網(wǎng)絡(luò)上的100個(gè)傳感器。傳感器是網(wǎng)絡(luò)上的監(jiān)控點(diǎn)，例如端口或可用磁盤空間等條件。

2.ManageEngine OpManager

ManageEngine的OpManager是當(dāng)今市場上領(lǐng)先的網(wǎng)絡(luò)監(jiān)控系統(tǒng)之一。此監(jiān)控系統(tǒng)使用SNMP方法進(jìn)行持續(xù)的網(wǎng)絡(luò)監(jiān)控和設(shè)備狀態(tài)跟蹤。OpManager的深度包檢測功能為系統(tǒng)增加了流量管理功能。

正如DPI預(yù)期的那樣，離線執(zhí)行分析。正在檢查的數(shù)據(jù)包首先寫入PCAP文件。這些文件提供分析的源信息。

OpManager的深度數(shù)據(jù)包分析功能旨在揭示網(wǎng)絡(luò)性能不佳的原因，而不是檢測入侵。分析中出現(xiàn)兩個(gè)指標(biāo)：網(wǎng)絡(luò)響應(yīng)時(shí)間和應(yīng)用程序響應(yīng)時(shí)間。管理員可以發(fā)現(xiàn)哪些應(yīng)用程序性能不佳，并且可能需要比標(biāo)準(zhǔn)網(wǎng)絡(luò)功能更多的資源。然后，可以決定是否增加資源以服務(wù)于該應(yīng)用程序，提供更有效的替代方案，或限制該應(yīng)用程序可用的帶寬，以便為更重要的網(wǎng)絡(luò)服務(wù)提供更好的響應(yīng)時(shí)間。

深度數(shù)據(jù)包分析中出現(xiàn)的數(shù)據(jù)可以在報(bào)告中輸出。這些使你能夠與決策層討論是否應(yīng)該將預(yù)算用于擴(kuò)展基礎(chǔ)設(shè)施，或者是否應(yīng)該抑制過度活躍的應(yīng)用程序。

OpManager可免費(fèi)監(jiān)控網(wǎng)絡(luò)上的十個(gè)節(jié)點(diǎn)或更少節(jié)點(diǎn)。大于此的系統(tǒng)必須使用付費(fèi)的OpManager。OpManager監(jiān)控控制臺可以安裝在Windows和Linux操作系統(tǒng)上。

3.nDPI

OpenDPI是深度數(shù)據(jù)包分析工具的開源項(xiàng)目。一個(gè)開源項(xiàng)目允許任何人查看應(yīng)用程序的源代碼。這可以向用戶保證，內(nèi)部沒有隱藏的或破壞性的惡意軟件程序。Ntop的nDPI基于OpenDPI代碼并擴(kuò)展其功能。nDPI的源代碼也可用。

此開源模型為你提供了按原樣安裝或修改系統(tǒng)以滿足業(yè)務(wù)需求的選項(xiàng)。開源代碼的修改非常普遍，許多為此類系統(tǒng)創(chuàng)建增強(qiáng)功能的人員也會將這些新功能提供給社區(qū)。在某些情況下，管理源代碼的組織會將這些更改接受到核心版本中。Ntop使nDPI與原始OpenDPI分開，因此你有兩個(gè)開源選項(xiàng)。

nDPI在應(yīng)用層運(yùn)行。這意味著它在檢查內(nèi)容之前統(tǒng)一數(shù)據(jù)包。數(shù)據(jù)包的標(biāo)頭告訴分析引擎?zhèn)鬏斒褂玫膮f(xié)議以及流量來自哪個(gè)端口。該信息標(biāo)識了在網(wǎng)絡(luò)上發(fā)送數(shù)據(jù)的應(yīng)用程序與每個(gè)使用的端口之間的任何不匹配，而不是應(yīng)用程序應(yīng)該用于其遵循的協(xié)議的端口。

nDPI系統(tǒng)能夠通過查看指定傳輸加密密鑰的SSL安全證書來識別加密數(shù)據(jù)包。這是一個(gè)聰明的洞察力，可以解決加密對深度數(shù)據(jù)包分析帶來的困難。

nDPI軟件可以安裝在Windows，Linux和MacOS上。DPI模塊支持其他Ntop產(chǎn)品，如nProbe和Ntop-NG。nProbe是一個(gè)收集NetFlow消息的流量監(jiān)控系統(tǒng)。NetFlow是思科用于其網(wǎng)絡(luò)設(shè)備產(chǎn)品的信令標(biāo)準(zhǔn)。該系統(tǒng)收取少量費(fèi)用，可在Linux和Windows上運(yùn)行。Ntop-NG是一種用于網(wǎng)絡(luò)的流量分析器。這是一種采用SNMP消息的備用網(wǎng)絡(luò)監(jiān)控系統(tǒng)。Ntop-NG適用于Windows，Unix，Linux和Mac OS。它有三個(gè)版本，其中一個(gè)版本是免費(fèi)的Community Edition。

4.Netifyd

盡管是一個(gè)OpenDPI的分支，nDPI正在成為它自己的標(biāo)準(zhǔn)，并且是許多其他改編的基礎(chǔ)。Netifyd就是其中之一。這使得Netifyd適應(yīng)了OpenDPI的改編。Netifyd是一個(gè)開源產(chǎn)品，你可以看到構(gòu)建程序，編譯和使用它的代碼。或者，你可以自己調(diào)整代碼，最后調(diào)整適應(yīng)的OpenDPI。

Netifyd將捕獲數(shù)據(jù)包，但它不包括分析函數(shù)來解釋數(shù)據(jù)或采取措施來形成流量或阻塞協(xié)議。你需要將Netifyd數(shù)據(jù)導(dǎo)入到這些功能的另一個(gè)應(yīng)用程序中。

該系統(tǒng)可從Egloo網(wǎng)站的社區(qū)頁面獲得。Egloo的主要產(chǎn)品是Netify網(wǎng)絡(luò)監(jiān)控工具，它基于Netifyd但具有更多功能而且不是免費(fèi)的。此工具為你提供所需的可視化和排序功能，以便正確理解深度數(shù)據(jù)包檢查所產(chǎn)生的信息。Netify的入門套餐每個(gè)網(wǎng)站每月定價(jià)25美元。該版本允許你監(jiān)控多達(dá)25臺設(shè)備的數(shù)據(jù)，該服務(wù)將存儲你的數(shù)據(jù)兩天。更高的包提供更長的歷史數(shù)據(jù)時(shí)間范圍。

5.AppNeta

AppNeta是一個(gè)基于云的網(wǎng)絡(luò)監(jiān)控系統(tǒng)。它特別針對運(yùn)營WAN并將其功能擴(kuò)展到云中的公司。該軟件使用稱為TruPath的專有網(wǎng)絡(luò)流量分析方法，這有點(diǎn)像Traceroute，增加了性能報(bào)告。

在TruPath收集信息后，系統(tǒng)會添加通過深度數(shù)據(jù)包檢查收集的流量詳細(xì)信息。DPI模塊用于按應(yīng)用程序劃分流量指標(biāo)。由于AppNeta針對的是那些對所有公司流量都強(qiáng)烈使用互聯(lián)網(wǎng)的企業(yè)。它可以在異地進(jìn)行所有數(shù)據(jù)包檢測，減少過多報(bào)告程序?qū)W(wǎng)絡(luò)造成的壓力。

DPI模塊收集的信息將發(fā)送到云數(shù)據(jù)中心。分析引擎遠(yuǎn)程托管，而不是任何設(shè)備。這使得儀表板和報(bào)告可以從任何位置獲得，而不僅僅是在總部。此配置的位置中立性使得系統(tǒng)的控制面板可以從Web上的任何位置獲得。數(shù)據(jù)存儲在AppNeta服務(wù)器上90天，這為你提供了分析趨勢和計(jì)劃容量的充足機(jī)會。對應(yīng)用程序的需求既包括企業(yè)訪問的云服務(wù)，也包括企業(yè)向其他人提供的在線服務(wù)。

AppNeta側(cè)重于監(jiān)控應(yīng)用程序的交付性能。它包括每個(gè)應(yīng)用程序的流量警報(bào)。這些流量警告可以充當(dāng)安全監(jiān)控，因?yàn)榱髁客蝗患ぴ隹赡鼙砻靼l(fā)生了攻擊。該實(shí)用程序包括用戶活動分析，可以方便地跟蹤可疑活動并識別受損帳戶。但是，AppNeta并未定位為安全工具。

AppNeta通過加密涵蓋你的站點(diǎn)與其數(shù)據(jù)中心之間的所有通信。該軟件包不使用數(shù)據(jù)分析工具，公司建議你使用第三方工具，例如Wireshark。

這個(gè)監(jiān)控系統(tǒng)不是免費(fèi)的。該服務(wù)每個(gè)位置的每個(gè)應(yīng)用程序的價(jià)格為199美元。你可以申請免費(fèi)試用該系統(tǒng)，但該公司不會在固定的時(shí)間段內(nèi)提供此服務(wù)。

6.NetFort LANGuardian

LANGuardian主要使用深度包檢測作為安全工具。該系統(tǒng)隔離了吃資源的應(yīng)用程序，并檢查網(wǎng)絡(luò)上使用最多帶寬的協(xié)議流量。

系統(tǒng)的儀表板提供摘要數(shù)據(jù)，可以從中深入查看可用信息，包括用戶活動。LANGuardian軟件在Linux上運(yùn)行。它捆綁了自己的Linux界面，因此它也可以運(yùn)行虛擬機(jī)，包括Microsoft Hyper-V。但是，它不會直接在Windows上運(yùn)行。如果要在Windows計(jì)算機(jī)上使用LANGuardian，則必須安裝VMWare Player或VirtualBox并通過該界面運(yùn)行該軟件。

LANGuardian系統(tǒng)包括四個(gè)要素：

• 收集引擎
• 分析引擎
• 流量數(shù)據(jù)庫
• 報(bào)告引擎

與大多數(shù)DPI系統(tǒng)一樣，你無法分析實(shí)時(shí)數(shù)據(jù)。這是數(shù)據(jù)庫派上用場的地方。收集代理收集的信息將插入到數(shù)據(jù)庫中。然后可以通過分析引擎對收集的數(shù)據(jù)進(jìn)行分類和操作。這為系統(tǒng)提供了網(wǎng)絡(luò)流量的應(yīng)用級視角，使分析儀能夠跟蹤數(shù)據(jù)包的流量模式。但是，這些記錄可以非?？焖俚亟M合并實(shí)時(shí)添加，因此可以獲得網(wǎng)絡(luò)流量的近實(shí)時(shí)視圖。

該軟件必須安裝在網(wǎng)絡(luò)上的一臺計(jì)算機(jī)上，并且該計(jì)算機(jī)必須直接連接到核心交換機(jī)。這使收集代理能夠復(fù)制通過網(wǎng)絡(luò)運(yùn)行的所有流量。該收集器成為主要傳感器，并在核心交換機(jī)和監(jiān)控控制臺之間創(chuàng)建一對一的關(guān)系。顯然，這種架構(gòu)會阻止LANGuardian系統(tǒng)部署在分布式網(wǎng)絡(luò)上，特別是它不適用于WAN。在這些情況下，LANGuardian部署遠(yuǎn)程傳感器，遠(yuǎn)程傳感器遠(yuǎn)離組織中的其他主要交換機(jī)，以集中數(shù)據(jù)分析。

該系統(tǒng)不是免費(fèi)的。但是，可以獲得LANGuardian的30天免費(fèi)試用版。

7.SolarWinds Network Performance Monitor (免費(fèi)試用)

SolarWinds Network Performance Monitor使用一系列技術(shù)來監(jiān)控和管理網(wǎng)絡(luò)流量。主要元素使用本地為網(wǎng)絡(luò)設(shè)備固件的SNMP消息傳遞系統(tǒng)。但是，監(jiān)控的分析部分使用深度包檢測（DPI）作為工具的網(wǎng)絡(luò)行為可見性服務(wù)的一部分。

SolarWinds工具中DPI的目的是滿足網(wǎng)絡(luò)管理員的兩個(gè)目標(biāo)。第一種是識別耗盡系統(tǒng)大部分資源的流量類型。網(wǎng)絡(luò)負(fù)載過重會使每個(gè)人的工作環(huán)境變得困難，因此確切了解所有需求的來源非常重要。DPI提供此數(shù)據(jù)，一旦識別出資源占用者，網(wǎng)絡(luò)管理員就可以更輕松地決定如何處理這些數(shù)據(jù)。

深度數(shù)據(jù)包分析還提供網(wǎng)絡(luò)性能監(jiān)控安全功能。DPI技術(shù)將識別導(dǎo)致流量激增并顯示不穩(wěn)定行為的特定用戶和應(yīng)用程序。需求高峰可能是由黑客攻擊引起的，但是，它們也可能是由業(yè)務(wù)需求引起的，例如月末帳戶處理。DPI可以讓你了解這些激增是否是由合法的業(yè)務(wù)活動產(chǎn)生的?？梢宰柚共灰?guī)則的行為。

用戶跟蹤可突出顯示異?；顒?。例如，一個(gè)用戶帳戶可能已被盜用，導(dǎo)致該用戶訪問與其通常活動無關(guān)的服務(wù)。在短時(shí)間內(nèi)從不同的物理位置登錄還可以識別已被泄露的用戶帳戶。

SolarWinds Network Performance Monitor中使用深度數(shù)據(jù)包分析表明，這種技術(shù)不僅適用于安全專家。SolarWinds確實(shí)包括用于入侵檢測的深度數(shù)據(jù)包分析，但它也使用該系統(tǒng)來幫助塑造常規(guī)流量并檢查使系統(tǒng)過載的應(yīng)用程序類別。使用DPI支持合法的業(yè)務(wù)活動為所有網(wǎng)絡(luò)監(jiān)控系統(tǒng)指明了前進(jìn)的方向。DPI的復(fù)雜方法現(xiàn)在正成為主流，并將成為未來所有網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)的核心部分。

SolarWinds Network Performance Monitor不是免費(fèi)的。該系統(tǒng)的起價(jià)為2955美元。但是，可以免費(fèi)試用30天。SolarWinds Network Performance Monitor只能安裝在Windows Server操作系統(tǒng)上。

選擇深度數(shù)據(jù)包分析工具

深度數(shù)據(jù)包分析不必由獨(dú)立工具執(zhí)行?？梢詫PI功能集成到許多業(yè)界頂級網(wǎng)絡(luò)監(jiān)控系統(tǒng)中。如果有一個(gè)小型網(wǎng)絡(luò)，并且不想讓網(wǎng)絡(luò)管理系統(tǒng)復(fù)雜，那么請查看這些大型網(wǎng)絡(luò)監(jiān)控的免費(fèi)版本。如果只是想要一個(gè)單獨(dú)的系統(tǒng)來執(zhí)行深度數(shù)據(jù)包分析，并且不希望這些任務(wù)干擾常規(guī)監(jiān)控，那么可以在清單中找到你適合的工具。

注意安裝深度數(shù)據(jù)包分析工具，因?yàn)樗鼈儠崛【W(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。深度數(shù)據(jù)包檢查可能會損害整個(gè)組織交換的數(shù)據(jù)的隱私。在安裝任何網(wǎng)絡(luò)工具之前，應(yīng)先咨詢企業(yè)的法律顧問，以便在跨越網(wǎng)絡(luò)時(shí)捕獲數(shù)據(jù)。通過授予網(wǎng)絡(luò)管理員工作人員的訪問權(quán)限，可能會危及數(shù)據(jù)隱私和訪問控制。在某些情況下，公司必須承諾限制對企業(yè)資產(chǎn)所持公眾成員的個(gè)人信息的訪問。當(dāng)遇到網(wǎng)絡(luò)性能問題時(shí)，檢查數(shù)據(jù)包級別流量的能力肯定是有用的。深度數(shù)據(jù)包分析更進(jìn)一步，并讀取每個(gè)數(shù)據(jù)包的內(nèi)容。

目前你是否使用深度數(shù)據(jù)包檢測技術(shù)來保持網(wǎng)絡(luò)正常運(yùn)行？在使用DPI工具時(shí)，你是否遇到過數(shù)據(jù)隱私問題的法律問題？不妨來聊聊！