P2P流量监控初探

摘 要：P2P（对等网络）产生的影响在对互联网起到积极意义的同时，也带来了种种负面情况，比如网络堵塞、安全漏洞和知识产权等问题，由于P2P非常自由开放，所以很多盗版和非法内容都盯上了这个平台。目前有很多P2P软件使得少数用户占用了大量的公共网络带宽资源，这对网络无疑是非常大的消耗，很容易引起数据交互的拥塞，拉低网络性能，让用户无法体会到互联网的高品质服务。如何有效合理的识别并且管理P2P流量，是目前业界非常重要的研究对象。

关键词：P2P；网络；流量监控；协议端口

P2P应用对于现代社会来说已经开始成为不可或缺的一部分了，尤其在年轻人的生活中更是如此。人们可以长期不关机利用软件下载一些免费的网络资源，这不仅仅是由于软件便捷可靠，更是因为几分钟我们就可以在网络上下载下来我们所需要和感兴趣的资源，下载速度远远高于传统的HTTP下载以及FTP下载，因而P2P更为人们青睐。

另外P2P使得网络空闲时间被尽可能压缩，用户通常会将大文件置于下载队列，然后便离开做其他的工作，有时甚至不会守在计算机前。在后台模式下，P2P尽可能的获取更大的带宽，提高下载效率，不会受到过多限制。除此之外在计算机到计算机之间传输文件的过程中，P2P应用对带宽的占用量也相对较大，主要针对对等体计算机，这些计算机可以出在网络中的任何位置，其相互之间的连接主要依赖于频繁的信息交换予以保持，这种信息交换类似于查询-定位消息的互换，因此这种连接可以保持相对较长的时间。但是从另一角度分析，这种长时间的连接可能会使得用户计算机保持连接的流量超出下载所需的流量。

P2P产生的网络数据流量成为了主要的数据流量，占到总比重的6成甚至8成，大部分为下载请求和视频数据包，这严重影响了正常网络服务的开展，成为了互联网带宽的主要杀手，这对网络资源无疑是种浪费。有很多P2P软件使得少数用户占用了大量的公共网络带宽资源，这对网络无疑是非常大的消耗，很容易引起数据交互的拥塞，拉低网络性能，让用户无法体会到互联网的高品质服务。同时由于P2P非常自由开放，所以很多盗版和非法内容都盯上了这个平台，已经引起了网络管理者的高度重视。这些年来，有关P2P的侵权法律纠纷已经在全世界各国层出不穷，也有不少封杀P2P的声音出现。

1 P2P流量识别

随着网络技术的不断发展，P2P技术也日新月异，从简单发展到复杂，从低级发展到高级。P2P网络结构也发生了重要变化，由中心控制到全局分布，再端口方面也由早期的固定端口发展到随机动态端口，目前已经发展到伪装端口。互联网上基于P2P开发的软件非常之多，目前国内外的很多专家学者也进行了大量的研究，针对P2P流量的控制有了一定的研究成果。目前业界关于P2P流量的识别技术主要从几个方面入手：

1.1 基于端口的P2P识别

为了达到操作简便的目的，初期的P2P软件基本使用默认的传输层端口，比如O.44版本的eMule就使用TCP端口4662、UDP端口4672或者4673。这种端口识别技术操作起来很容易。当然也有一些P2P协议不采用固定的端口，随机端口动态的使用，也包括使用了大家比较熟悉的知名服务的端口。HTTP隧道、端口跳跃等技术的涌现则是加大了识别的难度。

1.2 基于深层数据包扫描的识别

深层数据包检测技术（DPI）是通过对数据包进行应用层协议的还原解析来发现P2P软件使用。采用这种技术的原理就是使用一个载荷特征库存储载荷特征串，符合载荷特征串的数据包就被判定为P2P数据包，从而达到识别的目的。

1.3 基于流y计特性的识别

基于流统计特性的识别法是建立在P2P网络的测量工作的基础上，P2P测量是进行P2P流量监控和网络行为学分析的基础，它主要分为P2P流量特征测量、P2P拓扑特征测量和P2P可用性测量等。

1.4 基于传输层的行为特征识别

Thomas Karagiannis等专家学者在认真研究了P2P流量的传输层特征后，在2004年提出了一种方法是基于传输层连接特征的P2P流量检测方法。该方法以P2P流量在传输层所表现出来的两种一般特性为依据并结合传统的端口检测技术。

1.5 统计分类识别

对网络流量依照应用进行分类，利用统计分类的方式，可以将网络流量按照是否湿P2P应用分为两类。目前统计分类的方式主要有三种，一种基于无监督学习的方式，一种建立在支持向量机的基础之上，还有一种较为常用的方式为贝叶斯分类器。

2 P2P流量管理

2.1 直路串接管理

该种方式对流量的控制主要是通过数据包的丢弃来实现，通过透明模式下直路串接控制设备同网络连接，对不同的网络通过应用流量进行分类，并以控制策略为基础，采用路由器、处理器等硬件，防火墙、TC、IDS系统等软件依照一定算法，对需要的流量数据进行管理。针对大流量数据传输，在客户未确认信息前以及未收到数据前采用低速传输机制，从而有效控制P2P数据流量，避免造成拥塞，从而实现对P2P流量的有效控制。此外，利用数据包的丢弃，实现流量的直接控制，这种直接级联控制的方式相对比旁路控制更为直接、有效，不会对干扰接入端口造成影响，即不占用其他端口。但必须注意的是，所有流量控制设备在处理网络数据流以及转发数据的过程中，都会带来延迟，从而影响网络服务质量，带来一系列问题；另外，对网络数据流检测时，检测设备必须在真实数据流路径上部署，因而就会导致网络中出现单点失效以及处理瓶颈的问题，致使网络服务质量降低；直路串接控制管理的方式在转发、处理数据的功能要求上相对较高。

在对P2P数据包进行识别时，直路串接管理主要使用特征码进行计算匹配，以修改2GB线匹配算法以及高性能三态内容寻址存储器线速病毒特征为基础，对数据包进行线速匹配。以Linux内核库为基础，通过一定的扩展，在边缘路由器安装网络系统，从而实现用户空间数据、内核空间数据的共享和交互，对防火墙的规则集进行大规模扩展，从而有效控制数据流中的P2P流量。

2.2 旁路干扰控制

旁路干扰流量控制主要受干扰数据包发送伪装通信的TCP，UDP流包伪装技术，减少连接或断开连接来达到控制流量的目的，能够降低数据传输率。由于采用TCP或UDP方式的P2P数据传输，所以旁路干扰流量控制方法分为：TCP连接块，通过伪造和发送TCP RST报文截断，TCP减速，通过发送伪造的特殊的序列信息来截断UDP连接，如取消BT协议意味着下载接收机自动停止的消息，接到消息后UDP降低速度，以减少UDP连接通过伪造的传输速率。

3 结束语

从上述分析可以看出，网络建设在有效的流量控制技术下步入了一个新的发展阶段，人们不在只关注带宽的拓展、网络延时以及数据吞吐率，而是开始分析用户行为、关注网络构架。人们开始注意到，单单拓展网速、提高网络服务质量并不能令网络环境更有序、健康。越来越多的P2P应用开始占用更大的网络资源，影响网络服务质量，因此只有通过准确认知、识别，并根据用户行为正确引导，才能更好地发挥P2P应用的作用。任何事物都是存在两面性，P2P应用也不例外，既有利也有弊，因此在P2P流量管理中，不能只依赖封堵，而应该变封堵为疏导，利用科学的力量去正确引导。

参考文献

[1]雷葆华，杨明川.P2P技术的组网模式与业务模式探讨[J].电信技术，2004（02）：44-45.

[2]陈亚辉.网络流量管理[J].邮电设计技术，2009，5：138-140.

[3]徐斌.P2P流量识别和系统部署[J].计算机工程，2010，32（4）：94-97.