蔣 映

(湖南大眾傳媒職業(yè)技術(shù)學(xué)院 實(shí)訓(xùn)中心， 湖南 長(zhǎng)沙 410100)

當(dāng)前網(wǎng)絡(luò)應(yīng)用普及率提高，網(wǎng)絡(luò)信息資源日漸豐富，與此并行的是網(wǎng)絡(luò)共享軟件應(yīng)用程度的加深。在校園網(wǎng)中，P2P共享軟件應(yīng)用率日漸提高，應(yīng)用最廣的下載共享軟件BT、eDonkey以其獨(dú)特的優(yōu)勢(shì)，幾乎成為校園電腦網(wǎng)絡(luò)的裝機(jī)必備。P2P軟件以其巨大流量對(duì)校園網(wǎng)絡(luò)的帶寬造成了較為嚴(yán)重的影響，成為迫使校園網(wǎng)絡(luò)增加帶寬的重要因素。即使校園網(wǎng)絡(luò)帶寬增加到千兆級(jí)，仍然出現(xiàn)不能滿足正常教學(xué)需要的問題。校園網(wǎng)絡(luò)管理者有必要對(duì)網(wǎng)絡(luò)占有情況進(jìn)行詳細(xì)了解，從而提出有針對(duì)性的P2P流量的監(jiān)控管理策略，既做到滿足關(guān)鍵業(yè)務(wù)對(duì)帶寬的需求，同時(shí)也要限制非關(guān)鍵業(yè)務(wù)乃至垃圾業(yè)務(wù)對(duì)校園網(wǎng)網(wǎng)絡(luò)帶寬的過度消耗。

一、P2P網(wǎng)絡(luò)及其業(yè)務(wù)流量特點(diǎn)

P2P是英文簡(jiǎn)寫，P是Peer(對(duì)等)的縮略，中文翻譯為“對(duì)等網(wǎng)絡(luò)技術(shù)”。該項(xiàng)技術(shù)正式使用是在1997年，當(dāng)時(shí)作為網(wǎng)絡(luò)運(yùn)用的一個(gè)新技術(shù)，提升了網(wǎng)絡(luò)邊緣資源的使用效率。近年來，電腦硬件價(jià)格呈現(xiàn)不斷下降趨勢(shì)，個(gè)人電腦在處理能力以及存儲(chǔ)空間方面得到較大提升，但由于軟件技術(shù)問題，硬件資源閑置率增高。如在B/S配置模式中，客戶端的個(gè)人電腦只是用來充當(dāng)網(wǎng)頁顯示工具。而如果是在P2P結(jié)構(gòu)體系下，個(gè)人電腦可以用來處理網(wǎng)絡(luò)中心多余的任務(wù)，減少中心的網(wǎng)絡(luò)運(yùn)載負(fù)荷。運(yùn)用P2P技術(shù)能夠?qū)⑸习偃f個(gè)網(wǎng)絡(luò)用戶組合起來，這種組合處理能力將大大超過中心服務(wù)器的處理水平。另外，P2P結(jié)構(gòu)體系還擁有較強(qiáng)的開放性以及擴(kuò)展能力強(qiáng)等優(yōu)點(diǎn)。所有這些，都是得P2P技術(shù)運(yùn)用，自誕生以來獲得了超速發(fā)展。P2P的結(jié)構(gòu)體系發(fā)展經(jīng)歷了集中服務(wù)器、純分散式文件共享系統(tǒng)、部分分散式結(jié)構(gòu)三個(gè)階段；端口數(shù)據(jù)傳輸也從固定、獨(dú)特使用發(fā)展到動(dòng)態(tài)、聯(lián)合運(yùn)行階段；數(shù)據(jù)傳輸經(jīng)歷了由明文到加密的過程轉(zhuǎn)變。

二、P2P業(yè)務(wù)流量對(duì)校園網(wǎng)的影響

(一)流量瓶頸。校園網(wǎng)的網(wǎng)絡(luò)流量分為P2P、FTP、HTTP、STREAMING、SMTP等類型，當(dāng)中80%以上的屬于P2P技術(shù)運(yùn)用。P2P能夠從個(gè)人電腦上以分段、分片形式進(jìn)行資源下載，同時(shí)，正在下載的個(gè)人電腦將作為一個(gè)服務(wù)器，在下載資源的同時(shí)上傳已經(jīng)下載了的資源，從而快速提升了個(gè)人電腦的下載速度。正是這一特點(diǎn)，使得當(dāng)前迅雷、PPLIVE、電驢、BT等下載軟件都是用P2P技術(shù)，提高下載速度。P2P還具有極強(qiáng)的搶占資源能力，先來先得的資源獲取能力遠(yuǎn)遠(yuǎn)大于其他網(wǎng)絡(luò)服務(wù)。[2]此外，P2P還會(huì)將建立多節(jié)點(diǎn)連接，對(duì)處于某個(gè)節(jié)點(diǎn)的個(gè)人電腦，大型文件完成下載時(shí)間還是較長(zhǎng)，這種長(zhǎng)時(shí)間占據(jù)帶寬的結(jié)果導(dǎo)致校園網(wǎng)絡(luò)的上行流量大大超過了下行流量。由此，P2P技術(shù)一旦在校園網(wǎng)絡(luò)中較大規(guī)模使用，就會(huì)迅速大流量的占據(jù)有限的校園網(wǎng)絡(luò)帶寬，造成其他網(wǎng)絡(luò)應(yīng)用由于帶寬資源不足而無法使用的局面。

(二)安全問題。使用P2P時(shí)，驗(yàn)證共享文件來源是否安全是非常困難的。P2P應(yīng)用因此常被攻擊者選擇作為傳遞惡意代碼的載體，導(dǎo)致P2P應(yīng)用可能包含SpyWare、病毒、特洛伊木馬或者Worm。由于在P2P網(wǎng)絡(luò)中，每個(gè)節(jié)點(diǎn)防御病毒的能力是不同的，因此只要有一個(gè)節(jié)點(diǎn)感染病毒，就可以通過內(nèi)部共享和通信機(jī)制將病毒擴(kuò)散到附近的鄰居節(jié)點(diǎn)，在短時(shí)間內(nèi)可以造成網(wǎng)絡(luò)擁塞甚至癱瘓，甚至通過網(wǎng)絡(luò)病毒可以完全控制整個(gè)網(wǎng)絡(luò)。當(dāng)前網(wǎng)絡(luò)的攻擊技術(shù)與P2P使用的核心技術(shù)存在極高的相似度，如DDOS攻擊技術(shù)運(yùn)用的就是控制成千上萬臺(tái)個(gè)人電腦對(duì)某些網(wǎng)站等攻擊目標(biāo)，發(fā)起拒絕服務(wù)攻擊。[3]某些P2P軟件具有“翻越”“穿透”現(xiàn)有校園網(wǎng)絡(luò)防火墻的能力，可以在網(wǎng)絡(luò)內(nèi)部利用防護(hù)漏洞，釋放病毒和惡意代碼。

三、校園網(wǎng)內(nèi)P2P流量的監(jiān)管策略

(一)P2P流量識(shí)別

在某些校園網(wǎng)內(nèi)部，共享文件流量占到了整個(gè)流量的80%以上，而在有些校園網(wǎng)絡(luò)中，高流量的P2P數(shù)據(jù)，對(duì)網(wǎng)絡(luò)性能有著極大的影響。網(wǎng)絡(luò)運(yùn)營(yíng)商和校園網(wǎng)絡(luò)維護(hù)人員在認(rèn)識(shí)到這種影響后，從網(wǎng)絡(luò)安全規(guī)劃與管理角度出發(fā)，采用了端口識(shí)別法、應(yīng)用層特征識(shí)別法、連接模式識(shí)別法等對(duì)P2P流量加以識(shí)別。

1、端口識(shí)別法：先在監(jiān)測(cè)的網(wǎng)絡(luò)對(duì)分組進(jìn)行收集工作，再對(duì)每一個(gè)分組的運(yùn)輸層首端信息進(jìn)行檢查，一旦發(fā)現(xiàn)有端口號(hào)跟具有特殊特征的端口號(hào)相符合，即可以判定這個(gè)分組屬于P2P分組。

2、應(yīng)用層特征識(shí)別法：Gnutella 、eDonkey 、BitTorrent、KaZaA 、DirectConnect是P2P具有的五種較為常見的協(xié)議，對(duì)協(xié)議特征專門分析并提取相關(guān)信息，并根據(jù)提取的信息與收集到的分組在模式上進(jìn)行匹配，可以判斷出那些分組是不是某一種類型的P2P分組。

3、連接模式識(shí)別法：這種方法是根據(jù)目的IP地址與觀察源的鏈接模式進(jìn)行識(shí)別。由于P2P具有某些獨(dú)特的鏈接模式，據(jù)此，可以直接對(duì)P2P的流量進(jìn)行識(shí)別；此外，P2P還與少量應(yīng)用方式共有某些模式，依據(jù)與之相對(duì)應(yīng)的IP地址歷史流量和其他特征可以識(shí)別。

(二)P2P流量控制

校園網(wǎng)絡(luò)維護(hù)管理人員可以采用封鎖P2P應(yīng)用端口、安裝識(shí)別協(xié)議模塊與監(jiān)控軟件、運(yùn)用流量控制專業(yè)設(shè)備三種方法對(duì)校園網(wǎng)流量進(jìn)行控制。

1、封鎖P2P應(yīng)用端口。這種方法主要依靠在校園網(wǎng)出口的防火墻檢測(cè)發(fā)現(xiàn)端口流量是否具有P2P應(yīng)用流量，如果達(dá)到相應(yīng)流量，就對(duì)相應(yīng)端口進(jìn)行封鎖，從而保障校園網(wǎng)絡(luò)正常帶寬資源。這種方法雖然可以取得一定成效，但效果持續(xù)時(shí)間不長(zhǎng)，失效后，以往被禁端口流量會(huì)重新攀升，與之前無異。另外，對(duì)端口封鎖還將造成某些日常應(yīng)用無法運(yùn)用，原因有二：一是有些P2P應(yīng)用協(xié)議能夠與端口實(shí)現(xiàn)自動(dòng)協(xié)商，被封后，可以自動(dòng)對(duì)通訊端口進(jìn)行更換；二是P2P軟件允許的正常端口設(shè)置80，導(dǎo)致封禁效果不理想。

2、安裝識(shí)別協(xié)議模塊與監(jiān)控軟件。當(dāng)前，像“Ethereal協(xié)議分析系統(tǒng)”等的實(shí)用網(wǎng)絡(luò)協(xié)議模塊與軟件，下載安裝在網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)服務(wù)器上，能夠起到對(duì)P2P軟件的封鎖效果，使得校園網(wǎng)的網(wǎng)絡(luò)占有率顯著下降。問題在于，持續(xù)時(shí)間也不會(huì)長(zhǎng)久，之后，隨著其他應(yīng)用軟件占據(jù)流量，網(wǎng)絡(luò)占有率仍會(huì)上升；更為嚴(yán)重的是在網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)服務(wù)器對(duì)P2P應(yīng)用協(xié)議和端口進(jìn)行封鎖，會(huì)導(dǎo)致服務(wù)器的CPU使用率急劇升高，從而使電腦系統(tǒng)不堪重負(fù)。如果采用較為常見的網(wǎng)絡(luò)監(jiān)控軟件，能夠?qū)χ攸c(diǎn)網(wǎng)絡(luò)鏈路以及較為簡(jiǎn)單的互聯(lián)點(diǎn)端口流量進(jìn)行統(tǒng)計(jì)與監(jiān)視，也可以采用通過遠(yuǎn)程監(jiān)控探測(cè)方式對(duì)網(wǎng)絡(luò)重點(diǎn)業(yè)務(wù)接入點(diǎn)監(jiān)視，采集一部分端口的網(wǎng)絡(luò)流量和上層業(yè)務(wù)流量，不過，都會(huì)存在類似問題，無法達(dá)到管理網(wǎng)絡(luò)業(yè)務(wù)流量的需求。

3、使用專業(yè)流量控制設(shè)備。封鎖P2P應(yīng)用端口、安裝識(shí)別協(xié)議模塊與監(jiān)控軟件雖然都有效果，卻無法實(shí)現(xiàn)對(duì)流量控制的科學(xué)管理，針對(duì)這種情況，研究人員專門開發(fā)了ExtraMonitor、CiscoSCE等專業(yè)流量控制設(shè)備。這種設(shè)備通過采用專業(yè)引擎進(jìn)行探測(cè)，對(duì)協(xié)議特征和鏈接過程進(jìn)行有效識(shí)別，達(dá)到控制管理應(yīng)用層級(jí)流量的目的。網(wǎng)絡(luò)管理人員為了清楚的認(rèn)識(shí)網(wǎng)絡(luò)流量狀況，可以運(yùn)用專業(yè)流量控制設(shè)備對(duì)應(yīng)用層流量進(jìn)行識(shí)別，對(duì)動(dòng)態(tài)端口和偽裝端口進(jìn)行區(qū)分，這種設(shè)備可以運(yùn)用在網(wǎng)頁瀏覽、網(wǎng)絡(luò)下載、網(wǎng)絡(luò)視頻、即時(shí)通訊以及電子郵件等方面。網(wǎng)絡(luò)管理員根據(jù)專業(yè)流量控制設(shè)備獲取的結(jié)果，將可以用來對(duì)某些不重要應(yīng)用進(jìn)行限制，保障和限制IP地址、端口等，對(duì)校園網(wǎng)絡(luò)內(nèi)重要的應(yīng)用通過優(yōu)先策略進(jìn)行保障，從而達(dá)到對(duì)師生上網(wǎng)運(yùn)用行為的調(diào)節(jié)，靈活滿足校園網(wǎng)絡(luò)帶寬資源需求。P2P應(yīng)用作為識(shí)別應(yīng)用協(xié)議的重點(diǎn)和難點(diǎn)，對(duì)P2P流量的控制是整個(gè)應(yīng)用協(xié)議控制的關(guān)鍵。隨著互聯(lián)網(wǎng)技術(shù)不斷發(fā)展，應(yīng)用不斷增減，許多網(wǎng)絡(luò)應(yīng)用采取技術(shù)對(duì)抗等方式，通過變換和偽裝其協(xié)議特征，甚至加密等逃避專業(yè)流量控制設(shè)備的檢測(cè)。[4]當(dāng)前，專業(yè)流量控制設(shè)備也適時(shí)更新自身的技術(shù)，監(jiān)控效果還是較為明顯，所以，這種方法一直以來是校園網(wǎng)流量控制的主要方法，雖然費(fèi)用不菲。

(三)細(xì)化流量監(jiān)管

通過分析，校園網(wǎng)絡(luò)帶寬的80%左右被P2P應(yīng)用軟件占據(jù)，對(duì)P2P流量管理不能采用“一刀切”的策略，可以分析校園網(wǎng)實(shí)際應(yīng)用和應(yīng)用時(shí)間變化，找到相應(yīng)的方法和規(guī)律，科學(xué)制定校園網(wǎng)寬帶管理策略。眼下，從保障教學(xué)和校園主要應(yīng)用目的出發(fā)，分析校園網(wǎng)出口帶寬的實(shí)際使用情況，管理策略可以基于對(duì)網(wǎng)內(nèi)網(wǎng)段的區(qū)分和工作時(shí)間來進(jìn)行制定。對(duì)網(wǎng)絡(luò)IP地址的監(jiān)控，先要對(duì)校園網(wǎng)內(nèi)的網(wǎng)絡(luò)IP網(wǎng)段進(jìn)行級(jí)別區(qū)分，根據(jù)級(jí)別的高低，科學(xué)合理的制定管理策略，控制流量。比如校園網(wǎng)絡(luò)內(nèi)學(xué)生IP地址的流速可以低于用于教學(xué)科研方面IP地址的流速，正常的網(wǎng)頁流量和網(wǎng)絡(luò)郵件流速應(yīng)該高于P2P流速。同時(shí)，還可以根據(jù)時(shí)間的合理規(guī)劃來制定管理策略，對(duì)P2P等流量較大的網(wǎng)絡(luò)應(yīng)用限制在周末等閑暇時(shí)間，在正常工作時(shí)間，嚴(yán)格限制流量大的P2P等軟件使用，錯(cuò)開流量需求。這種分級(jí)、分時(shí)控制管理，能夠改變校園網(wǎng)絡(luò)流量無序現(xiàn)狀，從而為保障校園日常工作對(duì)網(wǎng)絡(luò)的需求。

高校校園網(wǎng)中P2P應(yīng)用軟件的數(shù)目不斷增加，流量也呈現(xiàn)逐漸增長(zhǎng)的趨勢(shì)。在這種情況下，為了保障正常的教學(xué)、科研和管理等工作，就必須對(duì)P2P流量進(jìn)行有效的監(jiān)控和管理，必須有針對(duì)性地對(duì)P2P應(yīng)用選擇禁止或限制策略，以保證校園網(wǎng)高效、穩(wěn)定地為教育教學(xué)服務(wù)。隨著科技的發(fā)展，用戶安全意識(shí)的不斷提高，P2P技術(shù)一定會(huì)逐步成熟起來，其在校園網(wǎng)中的應(yīng)用就會(huì)更加普及和完善。

(責(zé)任編輯 遠(yuǎn) 揚(yáng))

[參考文獻(xiàn)]

[1] 楊天路. P2P網(wǎng)絡(luò)技術(shù)原理與系統(tǒng)開發(fā)案例[M]. 北京：人民郵電出版社，2007.

[2] 陸偉峰. 監(jiān)視和控制網(wǎng)絡(luò)出口BT流量[J]. 計(jì)算機(jī)安全，2005(2).

[3] 張愛萍. P2P網(wǎng)絡(luò)技術(shù)綜述[J]. 科技信息，2008(15) .

[4] 蔣海明，張劍英，王青青，彭娟. P2P流量檢測(cè)與分析[J]. 計(jì)算機(jī)技術(shù)與發(fā)展，2008(7).