Digging Deeper Into Deep Packet Inspection

https://www.dpacket.org/articles/digging-deeper-deep-packet-inspection-dpi

看看这篇文章，了解一下什么是DPI。

DPI的用途和IDP不一样，DPI的目的是识别，而IDP的目的是防护。在传统的根据端口来定义协议已经

不好使的情况下，就需要其他的方法来标识协议。DPI不是给终端用的，终端不存在协议识别的问题，如果

终端不认识协议，那协议也没有意义（当然不排除伪装的可能，就像变形病毒一样）。DPI是在gateway上使用的，

而是应该是stream based，标识单个包是没有意义的，在标识一个stream的协议之后，就可以放上面加一些

控制，比如带宽管理，比如访问控制等等。

DPI需要实时，因为网络流量是实时的，如果不能in-line工作，DPI就没有意义。DPI是运营商非常希望要的一个

功能。因为现在的协议都学会了伪装：httptunnel，动态端口，加密等等。如果是明文的话，还好说一点，大不了

就是解析内容，如果是加密的，就不好办了。那只有通过协议的流量特征：比如包大小，特殊字段之类的方法去识别，

这个做起来还是有难度的。