深度数据包检查（DPI）指南，包括7种最佳DPI工具

深度数据包分析是一种网络方法，在防火墙中特别有用。近年来，由于可以将深度包检查用作以下方面的一部分，因此使用量不断增加 入侵检测系统（IDS） 和 入侵防御系统（IPS）.

传统上，防火墙会阻止对网络的访问。防火墙中的过滤器还可以通过检查数据包头中包含的目标IP地址来阻止对网站列表的访问.

我们会深入探讨每种工具，但如果您没有时间阅读整篇文章，请参阅以下清单 最好的深度数据包检查和分析工具：

1. SolarWinds网络性能监视器（免费试用） –此网络监视工具包括深度数据包检查，以识别网络流量中的源应用程序和目标应用程序以及端点.
2. 使用PRTG进行Paessler封包嗅探（免费试用） – PRTG系统是基础设施监视工具，它包括一个数据包传感器.
3. 运营经理 –这是一个网络性能监视器，可以捕获数据包以进行脱机分析。该工具可在Windows和Linux上运行.
4. nDPI –此工具在应用程序层检查数据包，这意味着您需要缓冲流量以进行检查.
5. 网络化 – nDPI的一种改编，可捕获数据包以供其他服务检查.
6. AppNeta –基于云的网络监控系统，包括离线流量分析.
7. NetFort LANGuardian –使用DPI并在Linux上运行的网络安全分析工具.

SPI与DPI

检查IP标头的网关的进步是“有状态的”防火墙。他们雇用 有状态的数据包检查 （SPI）。此方法检查IP数据包中包含的TCP或UDP标头。状态数据包检查也称为浅层数据包检查. 深度数据包检查 （DPI）查看数据包的数据有效载荷.

SPI在网关处理单个数据包时对其进行检查, 并有选择地丢弃不符合网络安全政策的传出请求或传入数据包。名称的“有状态”部分是指连接数据。防火墙记录与TCP连接有关的标头信息，从而使它能够跟踪数据包流。防火墙收集的有状态头数据的类型包括数据包的序列号.

有状态防火墙通常将此连接信息存储在内存中，从而使其能够在相关数据包通过接口时挑选出它们。连接数据保存在动态表中。连接关闭后，该信息将从表中擦除以释放内存。有状态防火墙更有可能在进行连接时阻止连接。有状态的数据包检查仅关注实时数据.

DPI会将要检查的数据包作为一个组进行收集，因此在收集副本进行分析的同时，正常流量仍在继续. 这就是为什么DPI通常被称为“深度数据包分析.“ DPI比SPI需要更长的时间来产生可操作的intel.

深度数据包检查和分析的好处

入侵检测系统在数据流量中寻找“签名”，以识别不正常的活动。黑客用来绕过这些特征检测系统的一个窍门是： 将数据包分成较小的段. 这扩展了浅层数据包分析所寻找的模式，因此没有单个数据包包含该签名并且攻击可以通过. DPI分析重新组合来自同一来源的数据包流, 因此即使分散在多个传入数据包中也可以检测到攻击特征.

当DPI分析是入侵防御系统的一部分时，正在进行的分析结果将生成并采取措施来自动防御系统。此类操作可能包括阻止所有来自特定源IP地址甚至地址范围的数据包.

攻击检测

数据包的收集使DPI能够识别状态分析可能会漏掉的攻击类型。这些例子是 不规则使用标准网络实用程序, 如 电源外壳 要么 WMI, 和 有向音量超载, 如 缓冲区溢出攻击. 在病毒感染或间谍软件操作中使用常规系统实用程序意味着无法强制禁止已知由黑客使用的应用程序。这是因为这些系统实用程序对于向合法用户交付应用程序和服务至关重要。因此，深入的数据包检查和分析介入以检查那些系统服务的使用模式使用情况并有选择地进行 根除显示可疑行为的流量. 因此，即使最初看起来是合法流量，也可以将其识别出来.

防止数据泄漏

数据泄漏防护是深度数据包分析的另一种用途。这需要一个 白名单 方法。该公司可以制定一项政策，禁止任何人将数据复制到记忆棒或发送电子邮件附件。但是在某些情况下，有必要采取此类行动。在这种情况下，将通知DPI允许通过否则将被视为未经授权的活动。不应允许该用户发送任何文件，因此 DPI功能可保持监视活动以阻止除授权附件以外的文件传输.

最好的深度数据包检查和分析工具

复杂的网络监控系统现在包括深度数据包分析例程. 因此，您可以将此功能作为常规网络管理软件的一部分获得. 一些软件提供商生产结合了深度数据包分析的网络防御软件.

1. SolarWinds网络性能监视器（免费试用）

的 NPM的SolarWinds深度数据包检查和分析 用途 监视和管理网络流量的一系列技术. 主要元素使用 SNMP协议 网络设备固件固有的消息传递系统。但是，监视器的分析部分使用 深度包检查（DPI） 作为该工具的网络行为可见性服务的一部分.

SolarWinds工具中DPI的目的可以满足网络管理员的两个目标。首先是 确定占用系统大部分资源的流量类型. 网络上的过多负载使每个人都难以工作，因此准确找出所有需求的来源很重要。 DPI提供了这些数据，并且一旦确定了资源消耗者，网络管理员就可以更轻松地决定如何处理它们.

深度数据包检查还提供了网络性能监视器的安全功能. DPI技术将识别特定用户并 导致流量激增并显示不稳定行为的应用程序. 需求高峰可能是由黑客攻击引起的，但是也可能是由业务要求引起的，例如月末帐户处理。 DPI使您可以查看这些激增是否是由合法业务活动引起的. 异常行为可以被阻止.

用户跟踪可能会突出显示异常活动。例如，一个用户帐户可能已经被盗用，导致该用户访问与他的日常活动无关的服务。在短时间内从不同的物理位置登录也可以识别出已被盗用的用户帐户.

SolarWinds在网络性能监视器中采用的深度数据包分析显示 这种技术不仅适用于安全专家. SolarWinds确实包括用于入侵检测的深度数据包分析，但它也使用该系统帮助调整常规流量并检查使系统超载的应用程序类别。使用DPI支持合法的业务活动为所有网络监控系统指明了前进的方向. DPI的复杂方法现已成为主流 并将在将来成为所有网络流量监控系统的核心部分.

网络性能监视器不是免费的。该系统的起价为$ 2,955。但是，你可以得到 30天免费试用. SolarWinds网络性能监视器只能安装在 Windows服务器 操作系统.

SolarWinds网络性能监视器下载30天免费试用版

2.使用PRTG进行Paessler数据包嗅探（免费试用）

使用PRTG进行Paessler数据包嗅探 是一种全面的网络监控工具， 在其数据收集程序中包含DPI. PRTG的数据包嗅探器分析特定的流量类型，以监视资源使用情况和不规则活动。监视器报告这些流量类型及其吞吐量，包括 网络流量, 邮件服务器活动, 和 文件传输. 这些控制对于实施邮件和数据安全策略非常有用，它们使您能够发现流量激增的迹象，这可能表示入侵或网络攻击.

如果您对使用特别感兴趣 深度数据包分析以提高安全性, 然后您将获得的信息 DHCP服务器, 域名解析, 和 ICMP 流量对您特别有用.

PRTG仪表板功能中的数据包传感器页面 表盘和图表 帮助您快速了解路况数据.

Paessler PRTG可以安装在 视窗 并且有 小型网络的免费版本. 这将覆盖您网络上的100个传感器。传感器是网络上的监视点，例如端口或可用磁盘空间之类的条件。您可以下载软件 这里免费试用.

使用PRTG进行Paessler数据包嗅探下载30天免费试用版

3. ManageEngine OpManager

ManageEngine的OpManager是另一个 领先的网络监控系统 今天在市场上。该监视器使用SNMP方法进行持续的网络监视和设备状态跟踪. OpManager的深度数据包检查功能增加了流量管理 到系统.

正如DPI所预期的那样, 离线进行分析. 首先将要检查的数据包写入PCAP文件。这些文件提供了用于分析的源信息.

OpManager的深层数据包分析功能旨在发现网络性能不佳的原因，而不是检测入侵。分析得出两个指标： 网络响应时间 和 应用程序响应时间. 管理员可以找出哪些应用程序性能不佳，并且可能需要比标准网络功能更多的资源。然后，您可以决定是否增加资源来为饥饿的应用程序服务，研究更有效的替代方法或限制该应用程序可用的带宽，以便为更重要的网络服务提供更好的响应时间.

深度数据包分析练习中出现的数据可以在报告中输出。这些使您能够 领导与利益相关者的讨论 是否应花费预算扩展基础架构，还是应限制或搁置过度使用的应用程序.

OpManager是 可免费监视网络上的十个以下节点. 大于此的系统必须使用付费的OpManager。 OpManager监控控制台可以安装在 视窗 和 的Linux 操作系统.

4. nDPI

–

OpenDPI 是深度数据包分析工具的开源项目. 开源项目允许任何人查看应用程序的源代码。向用户保证没有隐藏的技巧 或破坏内部的恶意软件程序。 Ntop的nDPI基于OpenDPI代码并扩展了其功能. 也提供nDPI的源代码.

这种开源模型使您可以选择按原样安装它，也可以根据您的业务需求修改系统. 开源代码的修改非常普遍 许多为此类系统创建增强功能的人也向社区提供了这些新功能。在某些情况下，管理源代码的组织会将这些更改接受到核心版本中. Ntop将nDPI与原始OpenDPI分开, 所以你有两个开源选择.

nDPI在 应用层. 这意味着它将在检查数据包内容之前对其进行统一。数据包的标头告诉分析引擎传输使用的协议以及流量来自和到达的端口。该信息标识了在网络上发送数据的应用程序与每个端口使用的端口之间的不匹配情况，与应用程序遵循的协议所使用的端口相反.

nDPI系统能够通过查看SSL安全证书来识别加密的数据包 指定用于传输的加密密钥。这是一个聪明的见解，解决了加密对深度数据包分析带来的困难.

可以将nDPI软件安装在 视窗, 的Linux, 和 苹果系统. DPI模块支持其他Ntop产品，例如 探针 和 Ntop-NG. nProbe是一个交通监控系统，可以收集 网络流 消息。 NetFlow是由 思科系统 为其网络设备产品. 该系统需要支付少量费用 它在 的Linux 和 视窗. Ntop-NG是用于网络的流量分析器。这是采用 SNMP协议 消息。 Ntop-NG可用于 视窗, Unix系统, 的Linux, 和 苹果系统. 提供三种版本，其中一种, 社区版是免费的.

5.网化

尽管是OpenDPI的分支, nDPI正在成为自己的标准 并且是许多其他改编的基础. 网络化就是其中之一. 这使Netifyd成为OpenDPI的改编版。像它的祖先, Netifyd是开源产品 您会看到组成程序的代码，对其进行编译和使用。或者，您可以自己修改代码，最后改编为OpenDPI的改编.

网络化将捕获数据包，但是 它不包括分析功能 解释数据或采取行动来影响流量或阻止协议。您需要将Netifyd数据导入到其他应用程序中以实现这些功能.

该系统可从以下站点的社区页面访问： g 网站。 Egloo的主要产品是基于Netifyd的Netify网络监视器，但具有更多功能，并且 不是免费的. 该工具为您提供了可视化和排序功能，以正确理解深度数据包检查中产生的信息。 Netify入门包的价格为每个站点每月25美元. 该版本允许您监控最多25个设备 该服务将存储您的数据两天。较高的套餐为您提供了更长的历史数据时间范围.

6. AppNeta

AppNeta是 基于云的网络监控系统. 它特别针对运营WAN并将其功能扩展到云中的公司. 该软件使用称为TruPath的专有网络流量分析方法, 这有点类似于Traceroute，具有附加的性能报告.

TruPath收集信息后，系统会添加通过深度数据包检查收集的流量详细信息. DPI模块可按应用细分流量指标. 由于AppNeta的目标客户是将互联网广泛用于所有公司流量的企业。它进行所有 异地包检查, 减少过多的报告程序可能给网络带来的压力.

DPI模块收集的信息是 发送到云数据中心. 分析引擎是远程托管的，而不是在您的任何设备上托管的。这使得 仪表板和报告可从任何位置获得, 不只是您的总部这种配置的位置中立性使系统的控制面板可从网上的任何地方访问. 数据在AppNeta服务器上存储90天, 这为您提供了充分的机会来分析趋势和计划容量。对应用程序的需求涵盖了公司访问的云服务以及企业提供给他人的在线服务.

AppNeta演示文稿着重于 监视应用程序的交付性能. 它包括有关每个应用程序流量的警报。这些交通警告可以充当安全监控器，因为 流量突增可能表示攻击. 该实用程序包括用户活动分析, 这将有助于跟踪可疑活动并识别受感染的帐户。但是，AppNeta并未定位为安全工具.

AppNeta涵盖了您的站点与其数据中心之间的所有通信， 加密.  该软件包不使用数据分析工具，公司建议您使用第三方工具，例如Wireshark.

这个监控系统不是免费的. 该服务的价格为每个位置每个应用程序199美元。您可以要求 免费试用 系统，但该公司没有在固定的时间内提供此功能。您可以根据要求与销售代表协商试用期.

7. NetFort LANGuardian

LANGuardian的用途 深度数据包检查主要用作安全工具. 系统隔离资源贪婪的应用程序，并检查网络上使用最大带宽的协议流量.

系统的仪表板提供摘要数据，您可以从中进行汇总以挖掘可用信息，直至用户活动。 LANGuardian软件运行在 的Linux. 它捆绑在一起 自己的Linux接口, 所以也可以 运行虚拟机 包括Microsoft Hyper-V。但是，它不会直接在Windows上运行。如果要在Windows计算机上使用LANGuardian，则需要安装VMWare Player或VirtualBox并通过该界面运行该软件。.

LANGuardian系统包括四个元素：

• 收集引擎
• 分析引擎
• 交通数据库
• 报告引擎

像大多数DPI系统一样, 您无法分析实时数据. 这是数据库派上用场的地方。收集代理收集的信息将插入数据库中. 然后可以由分析引擎对收集的数据进行排序和操作. 这给了系统 应用程序级的观点 分析网络流量，并使分析仪能够跟踪数据包之间的流量模式。但是，这些记录可以非常快速地组合并实时添加，因此可以实时查看网络流量。.

该软件必须安装在网络上的一台计算机上，并且 该计算机必须直接连接到核心交换机. 这使收集代理可以复制网络上运行的所有流量。该收集器成为主要传感器，并在核心交换机和监视控制台之间创建一对一关系。显然，这种架构会阻止LANGuardian系统部署在分布式网络上，特别是不适用于WAN。在这些情况下, LANGuardian部署了远程传感器 从组织中的其他主要交换机返回的远程集中数据分析.

该系统不是免费的。但是，您可以获得 30天免费试用 LANGuardian的.

如何选择DPI和分析软件

无需使用独立工具进行深度数据包检查和分析. 您可以将DPI功能集成到许多行业的顶级网络监视系统中。如果您的网络较小，并且不想为网络管理系统掏腰包，那么 研究那些大型网络监视器的免费版本. 如果您只想让一个单独的系统执行深度数据包分析，而不希望这些任务干扰您的常规监控，那么您会在我们的列表中找到一些非常合适的工具.

安装深层数据包分析工具时要小心，因为它们会提取整个网络上承载的数据. 深度数据包检查可能会损害整个组织内交换的数据的隐私. 你应该 向您公司的法律顾问咨询 首先，请先安装任何网络工具，使您能够捕获跨网络的数据。授予网络管理员人员访问权限可能会损害数据隐私和访问控制。在某些情况下，公司必须保证限制对企业资产持有的公众个人信息的访问。所以, 通过安装DPI工具来确保您没有承担这些义务.

当遇到网络性能问题时，检查数据包级流量的功能无疑会很有帮助。深度数据包分析更进一步， 读取每个数据包的内容. 您必须向自己和董事会保证，在安装DPI系统之前，您确实需要该级别的信息才能保护网络。.

您当前是否使用深度数据包检查技术来保持网络正常运行？使用DPI工具时，您是否在数据隐私问题上遇到法律问题？在下面的评论部分中留言，让社区从您的经验中学习.

图片：Raspberry Pi B型在PiHouse盒中–由Tim Walker通过Flickr操作。根据CC BY-SA 2.0许可（已修改：添加了其他文本）