论文关键词:p2p 网络 应用
论文摘要:p2p业务的不断增加,造成了网络带宽的巨大消耗,甚至引起网络拥塞,降低其它业务的性能,造成了巨大的it资源浪费。通过并不安全的网络环境获得的应用程序和p2p协议,可能使得病毒和恶意代码得以躲过安全审查潜人企业内部网络。通过一种p2p流量控制模型,实现分类、标识和控制p2p流量,从而实现资源利用最大化。
国内对于p2p技术的研究和应用都进行得火热,但是对于p2p流量监控技术的研究却很少,很难在各大论文库中检索到p2p流量检测方而的中文文章,而高水平的论文更是少之又少。但是国内部分网络设备生产商己经推出了p2p流量监控的相关产品,如华为的secpath1800防火墙和euenmon。防火墙以及captech的网络管理软件—网络慧眼。这些产品采用的都是深层数据包检测技术。
1p2p流量检测
国外p2p流量检测方面的研究工作和产品化工作都做得很好,特别是深层数据包检测技术己经发展得非常成熟。subhabratasen等人于2004年初提出基于应用签名的p2p流量检测方法,实际上是深层数据包检测方法的一种,该方法把payload特征分为固定偏移量(fixedoffset)特征和变化偏移量(variableoffset)特征,第一步检查固定偏移量,第二步检查变化偏移量,在性能和精度上都取得了令人满意的效果。韩国的jameswonkihong等人于2003年提出基于传输层特征的p2p流量检测方法,该方法先通过离线统计的方式找到各种p2p应用的常用端口,然后把这些常用端口信息用到流量检测中作为应用分类的依据。wWw.133229.cOm试用该方法针对韩国当时流行的p2p软件进行了测试,但是没有给出性能参数。thomaskaragiannis等人在仔细研究了p2p流量的传输层特征后于2004年提出一种基于传输层特征的p2p流量检测方法,该方法以p2p流量的传输层所表现出来的两种一般性特征为依据,结合传统的端口检测技术,能够有效地检测到新的p2p应用的加密和p2p应用,但是改方法过于复杂且不能对p2p应用进行分类,另外他们还没有考虑对该方法的性能优化。国外网络设备生产商和网络服务提供商都推出了相关的产品和技术,如cisco公司的neflow技术,allot的故障恢复流量管理方案(failsafetrafficmanagement-solutions),cachelogic公司的cachelogicp2p管理方案,versotechnologies的netspective系列产品等,其中netspectiv系类产品己经拥有了拦截加密p2p应用skype的能力。纵观这些产品,全部都使用了自行研发的深层数据包检测技术,除了性能的识别精度商存在差别外,其技术的本质是相同的。口前为止唯一有据可查的使用基于流量特征的检测方法的产品是流量监控系统ng-mon,韩国的jameswonkihong等人在该系统商使用了他们自主研发的基于流量特征的p2p检测技术,但是没有给出具体的性能参数。
据包分类就是根据数据包本身携带的信息或与数据包有关的信息(主要指ip包头和传输层头部携带的信息)索引预先设置的分类器,查找匹配的规则来达到区分数据包的目的(图i)。数据包分类的结果决定了这个数据包属于哪一数据流以及此数据包应达到什么样的服务等级,然后转发引擎根据分类的结果采用相应的处理来满足用户的需求。这些处理可能包括丢弃未授权的分组、进行特殊的排队和调度处理或者作为路由选择的依据等。许多网络服务需要进行数据包分类,如寻路、防火墙访问控制、策略路由和业务帐单等。
类器是分类规则和分类策略的集合。一般情况下,分类器中的一条规则代表一种业务流,在数据包转发过程中接受相同的服务。分类规则是分类算法处理数据包的依据。一条分类规则可以看成是一个过滤器(filter)和一种处理行为((action)的组合。通常分类规则过滤器(filter)涉及到数据包包头(包括ip头和传输层头部等)的一个或多个字段,如tos(8bits)、源ip地址(32bits)、目的ip地址(32bits)、协议(8bits).源端口(i6bits)和目的端口(i6bits)。分类后的处理行为(action)包括数据包的丢弃优先级、调度策略、缓存区和带宽管理策略和路由选择策略等。此外处理行为中还必须包括一个优先级标识符来解决一个数据包符合多个分类规则的情况,即分类规则相互重叠的情况。
2系统功能模块设计
针对日前城域网ioog以上的流量,在设计系统的架构时就需要特别考虑。选择一种最适合的架构来满足城域网上对ioog流量性能的要求。由于pzp应用协议类型、实现机理的多样性,为了彻底监管和控制p2p流,只能采取综合性解决方案,在综合考察了最新p2p流量控制技术及设备的前提下,设计了p2p流量综合控制系统,如图2所示。
该系统采用分布的架构设计恐想。系统主要由五大功能模块组成,包括p2p检测模块、管理模块以及执行模块,每个模块又含有若十部件。映射到具体网络设备中,各设备的p2p控制功能就是由这些部件组合而实现的。由于设备性能的限制,要处理1oog以上的大流量,只能考虑采用分布式部署的方案。这样将分布式部署多个业务识别模块和业务执行模块。各个业务识别模块的识别、统计业务数据信息都统一上报给业务管理模块,由该模块汇总所有的流量信息,然后根据管理员设置的各种控制策略,有效地限制和阻断p2p流量数据,保障网络和业务的安全性。
3结论
p2p流量的控制与反控制是一个不断发展变法的过程。最初的p2p流量是可以通过其固定服务器ip地址及端口号加以识别的,很快便大量出现了采用随机动态端口、伪装端口的分布式p2p应用软件,并且己出现了加密的p2p流,甚至出现了在安全的套阶层ssl通道上传输的p2p流,越来越不易被识别。