深度数据包检测（DPI）到底有用吗

DPI技术的原理是对数据包进行拆包解析，以判断该数据包是属于什么协议、应用。DPI已被广泛应用于各种领域，而在流量管理产品中，DPI还被各厂家冠以EPI（精确包检测）、七层应用检测等头衔。事实上，大部分厂商的DPI技术就是去检测数据包头的几个字节以判断其协议和应用；复杂一点还会检测连接状态、反向解析协议包头。

由于DPI技术可精确区分不同类型应用的数据流，所以用户借此可精细控制网络中各种应用占据的流量，例如仅仅遏制那些极易造成网络拥塞的P2P流量而不影响其他正常应用。

然而，由于DPI技术需要检测数据包头字节或检测连接状态，因此产生了准确度、盲点和性能瓶颈三个问题。

准确度：无论DPI如何更新协议库，和实际网络中的应用相比，必然会有大部分应用无法识别：一般DPI产品能识别的应用不超过1000种，而一个大型网络的应用数以万计。这样造成了所谓的“未知流量”。对于未知流量，如果过于限制，必然要影响那些无法识别的正常的应用，如果不做限制，那些无法识别的P2P应用必然耗尽带宽。此外，各种应用协议是交互的、动态的，限制一种应用协议可能会影响到其它正常的应用协议，以上这些问题造成依赖DPI的产品准确度非常不高。

盲点：现在很多P2P协议采用加密协议，而DPI技术对于破解这些协议并解析其中的数据包束手无策；另一些应用经常通过升级方法变换协议，还有些干脆采用Shell程序伪装自己的数据包，这些对于DPI技术都是盲点；最后，VPN连接由于加密了所有数据，所以对于用VPN连接的应用，DPI望尘莫及。

性能瓶颈：依赖DPI技术的产品性能很低，通常单向三五百兆的带宽，其每秒数据包为10万-15万，如果是单向4G，其每秒数据包通常要超过150万，你能想象DPI产品要对每个数据包进行拆包解包从而判断各种应用？这是任何硬件产品都无法做到的。所以DPI产品只能采用抽样的算法，带宽越大，抽样比例越低，否则硬件无法支持，这造成的直接后果就是DPI的识别时灵时不灵，网络状况时好时坏。

此外，从成本角度来说，最终用户需要不停购买升级，否则随着应用的变化和升级，DPI产品将毫无用处；从管理角度而言，厂家需要经常更新协议库，最终用户需要经常更新策略，非常麻烦。

【DPI适应环境】在小规模网络中，DPI技术能帮助用户检测和管控主要的网络应用流量，以保护用户认为重要的应用（比如上网、收发邮件、ERP、在线游戏、视频等）的流量，遏制滥用带宽的应用（比如P2P等）。

因此，只要是主流和简单（不会经常更新版本、没通过加密和加Shell）的应用数据流，并且流量不是很大（300M以下）时，这种流控方式能较好地满足用户功能。