蔣 映
(湖南大眾傳媒職業(yè)技術(shù)學(xué)院 實(shí)訓(xùn)中心, 湖南 長(zhǎng)沙 410100)
當(dāng)前網(wǎng)絡(luò)應(yīng)用普及率提高,網(wǎng)絡(luò)信息資源日漸豐富,與此并行的是網(wǎng)絡(luò)共享軟件應(yīng)用程度的加深。在校園網(wǎng)中,P2P共享軟件應(yīng)用率日漸提高,應(yīng)用最廣的下載共享軟件BT、eDonkey以其獨(dú)特的優(yōu)勢(shì),幾乎成為校園電腦網(wǎng)絡(luò)的裝機(jī)必備。P2P軟件以其巨大流量對(duì)校園網(wǎng)絡(luò)的帶寬造成了較為嚴(yán)重的影響,成為迫使校園網(wǎng)絡(luò)增加帶寬的重要因素。即使校園網(wǎng)絡(luò)帶寬增加到千兆級(jí),仍然出現(xiàn)不能滿足正常教學(xué)需要的問題。校園網(wǎng)絡(luò)管理者有必要對(duì)網(wǎng)絡(luò)占有情況進(jìn)行詳細(xì)了解,從而提出有針對(duì)性的P2P流量的監(jiān)控管理策略,既做到滿足關(guān)鍵業(yè)務(wù)對(duì)帶寬的需求,同時(shí)也要限制非關(guān)鍵業(yè)務(wù)乃至垃圾業(yè)務(wù)對(duì)校園網(wǎng)網(wǎng)絡(luò)帶寬的過度消耗。
P2P是英文簡(jiǎn)寫,P是Peer(對(duì)等)的縮略,中文翻譯為“對(duì)等網(wǎng)絡(luò)技術(shù)”。該項(xiàng)技術(shù)正式使用是在1997年,當(dāng)時(shí)作為網(wǎng)絡(luò)運(yùn)用的一個(gè)新技術(shù),提升了網(wǎng)絡(luò)邊緣資源的使用效率。近年來,電腦硬件價(jià)格呈現(xiàn)不斷下降趨勢(shì),個(gè)人電腦在處理能力以及存儲(chǔ)空間方面得到較大提升,但由于軟件技術(shù)問題,硬件資源閑置率增高。如在B/S配置模式中,客戶端的個(gè)人電腦只是用來充當(dāng)網(wǎng)頁顯示工具。而如果是在P2P結(jié)構(gòu)體系下,個(gè)人電腦可以用來處理網(wǎng)絡(luò)中心多余的任務(wù),減少中心的網(wǎng)絡(luò)運(yùn)載負(fù)荷。運(yùn)用P2P技術(shù)能夠?qū)⑸习偃f個(gè)網(wǎng)絡(luò)用戶組合起來,這種組合處理能力將大大超過中心服務(wù)器的處理水平。另外,P2P結(jié)構(gòu)體系還擁有較強(qiáng)的開放性以及擴(kuò)展能力強(qiáng)等優(yōu)點(diǎn)。所有這些,都是得P2P技術(shù)運(yùn)用,自誕生以來獲得了超速發(fā)展。P2P的結(jié)構(gòu)體系發(fā)展經(jīng)歷了集中服務(wù)器、純分散式文件共享系統(tǒng)、部分分散式結(jié)構(gòu)三個(gè)階段;端口數(shù)據(jù)傳輸也從固定、獨(dú)特使用發(fā)展到動(dòng)態(tài)、聯(lián)合運(yùn)行階段;數(shù)據(jù)傳輸經(jīng)歷了由明文到加密的過程轉(zhuǎn)變。
(一)流量瓶頸。校園網(wǎng)的網(wǎng)絡(luò)流量分為P2P、FTP、HTTP、STREAMING、SMTP等類型,當(dāng)中80%以上的屬于P2P技術(shù)運(yùn)用。P2P能夠從個(gè)人電腦上以分段、分片形式進(jìn)行資源下載,同時(shí),正在下載的個(gè)人電腦將作為一個(gè)服務(wù)器,在下載資源的同時(shí)上傳已經(jīng)下載了的資源,從而快速提升了個(gè)人電腦的下載速度。正是這一特點(diǎn),使得當(dāng)前迅雷、PPLIVE、電驢、BT等下載軟件都是用P2P技術(shù),提高下載速度。P2P還具有極強(qiáng)的搶占資源能力,先來先得的資源獲取能力遠(yuǎn)遠(yuǎn)大于其他網(wǎng)絡(luò)服務(wù)。[2]此外,P2P還會(huì)將建立多節(jié)點(diǎn)連接,對(duì)處于某個(gè)節(jié)點(diǎn)的個(gè)人電腦,大型文件完成下載時(shí)間還是較長(zhǎng),這種長(zhǎng)時(shí)間占據(jù)帶寬的結(jié)果導(dǎo)致校園網(wǎng)絡(luò)的上行流量大大超過了下行流量。由此,P2P技術(shù)一旦在校園網(wǎng)絡(luò)中較大規(guī)模使用,就會(huì)迅速大流量的占據(jù)有限的校園網(wǎng)絡(luò)帶寬,造成其他網(wǎng)絡(luò)應(yīng)用由于帶寬資源不足而無法使用的局面。
(二)安全問題。使用P2P時(shí),驗(yàn)證共享文件來源是否安全是非常困難的。P2P應(yīng)用因此常被攻擊者選擇作為傳遞惡意代碼的載體,導(dǎo)致P2P應(yīng)用可能包含SpyWare、病毒、特洛伊木馬或者Worm。由于在P2P網(wǎng)絡(luò)中,每個(gè)節(jié)點(diǎn)防御病毒的能力是不同的,因此只要有一個(gè)節(jié)點(diǎn)感染病毒,就可以通過內(nèi)部共享和通信機(jī)制將病毒擴(kuò)散到附近的鄰居節(jié)點(diǎn),在短時(shí)間內(nèi)可以造成網(wǎng)絡(luò)擁塞甚至癱瘓,甚至通過網(wǎng)絡(luò)病毒可以完全控制整個(gè)網(wǎng)絡(luò)。當(dāng)前網(wǎng)絡(luò)的攻擊技術(shù)與P2P使用的核心技術(shù)存在極高的相似度,如DDOS攻擊技術(shù)運(yùn)用的就是控制成千上萬臺(tái)個(gè)人電腦對(duì)某些網(wǎng)站等攻擊目標(biāo),發(fā)起拒絕服務(wù)攻擊。[3]某些P2P軟件具有“翻越”“穿透”現(xiàn)有校園網(wǎng)絡(luò)防火墻的能力,可以在網(wǎng)絡(luò)內(nèi)部利用防護(hù)漏洞,釋放病毒和惡意代碼。
(一)P2P流量識(shí)別
在某些校園網(wǎng)內(nèi)部,共享文件流量占到了整個(gè)流量的80%以上,而在有些校園網(wǎng)絡(luò)中,高流量的P2P數(shù)據(jù),對(duì)網(wǎng)絡(luò)性能有著極大的影響。網(wǎng)絡(luò)運(yùn)營(yíng)商和校園網(wǎng)絡(luò)維護(hù)人員在認(rèn)識(shí)到這種影響后,從網(wǎng)絡(luò)安全規(guī)劃與管理角度出發(fā),采用了端口識(shí)別法、應(yīng)用層特征識(shí)別法、連接模式識(shí)別法等對(duì)P2P流量加以識(shí)別。
1、端口識(shí)別法:先在監(jiān)測(cè)的網(wǎng)絡(luò)對(duì)分組進(jìn)行收集工作,再對(duì)每一個(gè)分組的運(yùn)輸層首端信息進(jìn)行檢查,一旦發(fā)現(xiàn)有端口號(hào)跟具有特殊特征的端口號(hào)相符合,即可以判定這個(gè)分組屬于P2P分組。
2、應(yīng)用層特征識(shí)別法:Gnutella 、eDonkey 、BitTorrent、KaZaA 、DirectConnect是P2P具有的五種較為常見的協(xié)議,對(duì)協(xié)議特征專門分析并提取相關(guān)信息,并根據(jù)提取的信息與收集到的分組在模式上進(jìn)行匹配,可以判斷出那些分組是不是某一種類型的P2P分組。
3、連接模式識(shí)別法:這種方法是根據(jù)目的IP地址與觀察源的鏈接模式進(jìn)行識(shí)別。由于P2P具有某些獨(dú)特的鏈接模式,據(jù)此,可以直接對(duì)P2P的流量進(jìn)行識(shí)別;此外,P2P還與少量應(yīng)用方式共有某些模式,依據(jù)與之相對(duì)應(yīng)的IP地址歷史流量和其他特征可以識(shí)別。
(二)P2P流量控制
校園網(wǎng)絡(luò)維護(hù)管理人員可以采用封鎖P2P應(yīng)用端口、安裝識(shí)別協(xié)議模塊與監(jiān)控軟件、運(yùn)用流量控制專業(yè)設(shè)備三種方法對(duì)校園網(wǎng)流量進(jìn)行控制。
1、封鎖P2P應(yīng)用端口。這種方法主要依靠在校園網(wǎng)出口的防火墻檢測(cè)發(fā)現(xiàn)端口流量是否具有P2P應(yīng)用流量,如果達(dá)到相應(yīng)流量,就對(duì)相應(yīng)端口進(jìn)行封鎖,從而保障校園網(wǎng)絡(luò)正常帶寬資源。這種方法雖然可以取得一定成效,但效果持續(xù)時(shí)間不長(zhǎng),失效后,以往被禁端口流量會(huì)重新攀升,與之前無異。另外,對(duì)端口封鎖還將造成某些日常應(yīng)用無法運(yùn)用,原因有二:一是有些P2P應(yīng)用協(xié)議能夠與端口實(shí)現(xiàn)自動(dòng)協(xié)商,被封后,可以自動(dòng)對(duì)通訊端口進(jìn)行更換;二是P2P軟件允許的正常端口設(shè)置80,導(dǎo)致封禁效果不理想。
2、安裝識(shí)別協(xié)議模塊與監(jiān)控軟件。當(dāng)前,像“Ethereal協(xié)議分析系統(tǒng)”等的實(shí)用網(wǎng)絡(luò)協(xié)議模塊與軟件,下載安裝在網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)服務(wù)器上,能夠起到對(duì)P2P軟件的封鎖效果,使得校園網(wǎng)的網(wǎng)絡(luò)占有率顯著下降。問題在于,持續(xù)時(shí)間也不會(huì)長(zhǎng)久,之后,隨著其他應(yīng)用軟件占據(jù)流量,網(wǎng)絡(luò)占有率仍會(huì)上升;更為嚴(yán)重的是在網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)服務(wù)器對(duì)P2P應(yīng)用協(xié)議和端口進(jìn)行封鎖,會(huì)導(dǎo)致服務(wù)器的CPU使用率急劇升高,從而使電腦系統(tǒng)不堪重負(fù)。如果采用較為常見的網(wǎng)絡(luò)監(jiān)控軟件,能夠?qū)χ攸c(diǎn)網(wǎng)絡(luò)鏈路以及較為簡(jiǎn)單的互聯(lián)點(diǎn)端口流量進(jìn)行統(tǒng)計(jì)與監(jiān)視,也可以采用通過遠(yuǎn)程監(jiān)控探測(cè)方式對(duì)網(wǎng)絡(luò)重點(diǎn)業(yè)務(wù)接入點(diǎn)監(jiān)視,采集一部分端口的網(wǎng)絡(luò)流量和上層業(yè)務(wù)流量,不過,都會(huì)存在類似問題,無法達(dá)到管理網(wǎng)絡(luò)業(yè)務(wù)流量的需求。
3、使用專業(yè)流量控制設(shè)備。封鎖P2P應(yīng)用端口、安裝識(shí)別協(xié)議模塊與監(jiān)控軟件雖然都有效果,卻無法實(shí)現(xiàn)對(duì)流量控制的科學(xué)管理,針對(duì)這種情況,研究人員專門開發(fā)了ExtraMonitor、CiscoSCE等專業(yè)流量控制設(shè)備。這種設(shè)備通過采用專業(yè)引擎進(jìn)行探測(cè),對(duì)協(xié)議特征和鏈接過程進(jìn)行有效識(shí)別,達(dá)到控制管理應(yīng)用層級(jí)流量的目的。網(wǎng)絡(luò)管理人員為了清楚的認(rèn)識(shí)網(wǎng)絡(luò)流量狀況,可以運(yùn)用專業(yè)流量控制設(shè)備對(duì)應(yīng)用層流量進(jìn)行識(shí)別,對(duì)動(dòng)態(tài)端口和偽裝端口進(jìn)行區(qū)分,這種設(shè)備可以運(yùn)用在網(wǎng)頁瀏覽、網(wǎng)絡(luò)下載、網(wǎng)絡(luò)視頻、即時(shí)通訊以及電子郵件等方面。網(wǎng)絡(luò)管理員根據(jù)專業(yè)流量控制設(shè)備獲取的結(jié)果,將可以用來對(duì)某些不重要應(yīng)用進(jìn)行限制,保障和限制IP地址、端口等,對(duì)校園網(wǎng)絡(luò)內(nèi)重要的應(yīng)用通過優(yōu)先策略進(jìn)行保障,從而達(dá)到對(duì)師生上網(wǎng)運(yùn)用行為的調(diào)節(jié),靈活滿足校園網(wǎng)絡(luò)帶寬資源需求。P2P應(yīng)用作為識(shí)別應(yīng)用協(xié)議的重點(diǎn)和難點(diǎn),對(duì)P2P流量的控制是整個(gè)應(yīng)用協(xié)議控制的關(guān)鍵。隨著互聯(lián)網(wǎng)技術(shù)不斷發(fā)展,應(yīng)用不斷增減,許多網(wǎng)絡(luò)應(yīng)用采取技術(shù)對(duì)抗等方式,通過變換和偽裝其協(xié)議特征,甚至加密等逃避專業(yè)流量控制設(shè)備的檢測(cè)。[4]當(dāng)前,專業(yè)流量控制設(shè)備也適時(shí)更新自身的技術(shù),監(jiān)控效果還是較為明顯,所以,這種方法一直以來是校園網(wǎng)流量控制的主要方法,雖然費(fèi)用不菲。
(三)細(xì)化流量監(jiān)管
通過分析,校園網(wǎng)絡(luò)帶寬的80%左右被P2P應(yīng)用軟件占據(jù),對(duì)P2P流量管理不能采用“一刀切”的策略,可以分析校園網(wǎng)實(shí)際應(yīng)用和應(yīng)用時(shí)間變化,找到相應(yīng)的方法和規(guī)律,科學(xué)制定校園網(wǎng)寬帶管理策略。眼下,從保障教學(xué)和校園主要應(yīng)用目的出發(fā),分析校園網(wǎng)出口帶寬的實(shí)際使用情況,管理策略可以基于對(duì)網(wǎng)內(nèi)網(wǎng)段的區(qū)分和工作時(shí)間來進(jìn)行制定。對(duì)網(wǎng)絡(luò)IP地址的監(jiān)控,先要對(duì)校園網(wǎng)內(nèi)的網(wǎng)絡(luò)IP網(wǎng)段進(jìn)行級(jí)別區(qū)分,根據(jù)級(jí)別的高低,科學(xué)合理的制定管理策略,控制流量。比如校園網(wǎng)絡(luò)內(nèi)學(xué)生IP地址的流速可以低于用于教學(xué)科研方面IP地址的流速,正常的網(wǎng)頁流量和網(wǎng)絡(luò)郵件流速應(yīng)該高于P2P流速。同時(shí),還可以根據(jù)時(shí)間的合理規(guī)劃來制定管理策略,對(duì)P2P等流量較大的網(wǎng)絡(luò)應(yīng)用限制在周末等閑暇時(shí)間,在正常工作時(shí)間,嚴(yán)格限制流量大的P2P等軟件使用,錯(cuò)開流量需求。這種分級(jí)、分時(shí)控制管理,能夠改變校園網(wǎng)絡(luò)流量無序現(xiàn)狀,從而為保障校園日常工作對(duì)網(wǎng)絡(luò)的需求。
高校校園網(wǎng)中P2P應(yīng)用軟件的數(shù)目不斷增加,流量也呈現(xiàn)逐漸增長(zhǎng)的趨勢(shì)。在這種情況下,為了保障正常的教學(xué)、科研和管理等工作,就必須對(duì)P2P流量進(jìn)行有效的監(jiān)控和管理,必須有針對(duì)性地對(duì)P2P應(yīng)用選擇禁止或限制策略,以保證校園網(wǎng)高效、穩(wěn)定地為教育教學(xué)服務(wù)。隨著科技的發(fā)展,用戶安全意識(shí)的不斷提高,P2P技術(shù)一定會(huì)逐步成熟起來,其在校園網(wǎng)中的應(yīng)用就會(huì)更加普及和完善。
(責(zé)任編輯 遠(yuǎn) 揚(yáng))
[參考文獻(xiàn)]
[1] 楊天路. P2P網(wǎng)絡(luò)技術(shù)原理與系統(tǒng)開發(fā)案例[M]. 北京:人民郵電出版社,2007.
[2] 陸偉峰. 監(jiān)視和控制網(wǎng)絡(luò)出口BT流量[J]. 計(jì)算機(jī)安全,2005(2).
[3] 張愛萍. P2P網(wǎng)絡(luò)技術(shù)綜述[J]. 科技信息,2008(15) .
[4] 蔣海明,張劍英,王青青,彭娟. P2P流量檢測(cè)與分析[J]. 計(jì)算機(jī)技術(shù)與發(fā)展,2008(7).