校园网P2P流量监管策略初探

蒋 映

(湖南大众传媒职业技术学院 实训中心， 湖南 长沙 410100)

当前网络应用普及率提高，网络信息资源日渐丰富，与此并行的是网络共享软件应用程度的加深。在校园网中，P2P共享软件应用率日渐提高，应用最广的下载共享软件BT、eDonkey以其独特的优势，几乎成为校园电脑网络的装机必备。P2P软件以其巨大流量对校园网络的带宽造成了较为严重的影响，成为迫使校园网络增加带宽的重要因素。即使校园网络带宽增加到千兆级，仍然出现不能满足正常教学需要的问题。校园网络管理者有必要对网络占有情况进行详细了解，从而提出有针对性的P2P流量的监控管理策略，既做到满足关键业务对带宽的需求，同时也要限制非关键业务乃至垃圾业务对校园网网络带宽的过度消耗。

一、P2P网络及其业务流量特点

P2P是英文简写，P是Peer(对等)的缩略，中文翻译为“对等网络技术”。该项技术正式使用是在1997年，当时作为网络运用的一个新技术，提升了网络边缘资源的使用效率。近年来，电脑硬件价格呈现不断下降趋势，个人电脑在处理能力以及存储空间方面得到较大提升，但由于软件技术问题，硬件资源闲置率增高。如在B/S配置模式中，客户端的个人电脑只是用来充当网页显示工具。而如果是在P2P结构体系下，个人电脑可以用来处理网络中心多余的任务，减少中心的网络运载负荷。运用P2P技术能够将上百万个网络用户组合起来，这种组合处理能力将大大超过中心服务器的处理水平。另外，P2P结构体系还拥有较强的开放性以及扩展能力强等优点。所有这些，都是得P2P技术运用，自诞生以来获得了超速发展。P2P的结构体系发展经历了集中服务器、纯分散式文件共享系统、部分分散式结构三个阶段；端口数据传输也从固定、独特使用发展到动态、联合运行阶段；数据传输经历了由明文到加密的过程转变。

二、P2P业务流量对校园网的影响

(一)流量瓶颈。校园网的网络流量分为P2P、FTP、HTTP、STREAMING、SMTP等类型，当中80%以上的属于P2P技术运用。P2P能够从个人电脑上以分段、分片形式进行资源下载，同时，正在下载的个人电脑将作为一个服务器，在下载资源的同时上传已经下载了的资源，从而快速提升了个人电脑的下载速度。正是这一特点，使得当前迅雷、PPLIVE、电驴、BT等下载软件都是用P2P技术，提高下载速度。P2P还具有极强的抢占资源能力，先来先得的资源获取能力远远大于其他网络服务。[2]此外，P2P还会将建立多节点连接，对处于某个节点的个人电脑，大型文件完成下载时间还是较长，这种长时间占据带宽的结果导致校园网络的上行流量大大超过了下行流量。由此，P2P技术一旦在校园网络中较大规模使用，就会迅速大流量的占据有限的校园网络带宽，造成其他网络应用由于带宽资源不足而无法使用的局面。

(二)安全问题。使用P2P时，验证共享文件来源是否安全是非常困难的。P2P应用因此常被攻击者选择作为传递恶意代码的载体，导致P2P应用可能包含SpyWare、病毒、特洛伊木马或者Worm。由于在P2P网络中，每个节点防御病毒的能力是不同的，因此只要有一个节点感染病毒，就可以通过内部共享和通信机制将病毒扩散到附近的邻居节点，在短时间内可以造成网络拥塞甚至瘫痪，甚至通过网络病毒可以完全控制整个网络。当前网络的攻击技术与P2P使用的核心技术存在极高的相似度，如DDOS攻击技术运用的就是控制成千上万台个人电脑对某些网站等攻击目标，发起拒绝服务攻击。[3]某些P2P软件具有“翻越”“穿透”现有校园网络防火墙的能力，可以在网络内部利用防护漏洞，释放病毒和恶意代码。

三、校园网内P2P流量的监管策略

(一)P2P流量识别

在某些校园网内部，共享文件流量占到了整个流量的80%以上，而在有些校园网络中，高流量的P2P数据，对网络性能有着极大的影响。网络运营商和校园网络维护人员在认识到这种影响后，从网络安全规划与管理角度出发，采用了端口识别法、应用层特征识别法、连接模式识别法等对P2P流量加以识别。

1、端口识别法：先在监测的网络对分组进行收集工作，再对每一个分组的运输层首端信息进行检查，一旦发现有端口号跟具有特殊特征的端口号相符合，即可以判定这个分组属于P2P分组。

2、应用层特征识别法：Gnutella 、eDonkey 、BitTorrent、KaZaA 、DirectConnect是P2P具有的五种较为常见的协议，对协议特征专门分析并提取相关信息，并根据提取的信息与收集到的分组在模式上进行匹配，可以判断出那些分组是不是某一种类型的P2P分组。

3、连接模式识别法：这种方法是根据目的IP地址与观察源的链接模式进行识别。由于P2P具有某些独特的链接模式，据此，可以直接对P2P的流量进行识别；此外，P2P还与少量应用方式共有某些模式，依据与之相对应的IP地址历史流量和其他特征可以识别。

(二)P2P流量控制

校园网络维护管理人员可以采用封锁P2P应用端口、安装识别协议模块与监控软件、运用流量控制专业设备三种方法对校园网流量进行控制。

1、封锁P2P应用端口。这种方法主要依靠在校园网出口的防火墙检测发现端口流量是否具有P2P应用流量，如果达到相应流量，就对相应端口进行封锁，从而保障校园网络正常带宽资源。这种方法虽然可以取得一定成效，但效果持续时间不长，失效后，以往被禁端口流量会重新攀升，与之前无异。另外，对端口封锁还将造成某些日常应用无法运用，原因有二：一是有些P2P应用协议能够与端口实现自动协商，被封后，可以自动对通讯端口进行更换；二是P2P软件允许的正常端口设置80，导致封禁效果不理想。

2、安装识别协议模块与监控软件。当前，像“Ethereal协议分析系统”等的实用网络协议模块与软件，下载安装在网络地址转换(NAT)服务器上，能够起到对P2P软件的封锁效果，使得校园网的网络占有率显著下降。问题在于，持续时间也不会长久，之后，随着其他应用软件占据流量，网络占有率仍会上升；更为严重的是在网络地址转换(NAT)服务器对P2P应用协议和端口进行封锁，会导致服务器的CPU使用率急剧升高，从而使电脑系统不堪重负。如果采用较为常见的网络监控软件，能够对重点网络链路以及较为简单的互联点端口流量进行统计与监视，也可以采用通过远程监控探测方式对网络重点业务接入点监视，采集一部分端口的网络流量和上层业务流量，不过，都会存在类似问题，无法达到管理网络业务流量的需求。

3、使用专业流量控制设备。封锁P2P应用端口、安装识别协议模块与监控软件虽然都有效果，却无法实现对流量控制的科学管理，针对这种情况，研究人员专门开发了ExtraMonitor、CiscoSCE等专业流量控制设备。这种设备通过采用专业引擎进行探测，对协议特征和链接过程进行有效识别，达到控制管理应用层级流量的目的。网络管理人员为了清楚的认识网络流量状况，可以运用专业流量控制设备对应用层流量进行识别，对动态端口和伪装端口进行区分，这种设备可以运用在网页浏览、网络下载、网络视频、即时通讯以及电子邮件等方面。网络管理员根据专业流量控制设备获取的结果，将可以用来对某些不重要应用进行限制，保障和限制IP地址、端口等，对校园网络内重要的应用通过优先策略进行保障，从而达到对师生上网运用行为的调节，灵活满足校园网络带宽资源需求。P2P应用作为识别应用协议的重点和难点，对P2P流量的控制是整个应用协议控制的关键。随着互联网技术不断发展，应用不断增减，许多网络应用采取技术对抗等方式，通过变换和伪装其协议特征，甚至加密等逃避专业流量控制设备的检测。[4]当前，专业流量控制设备也适时更新自身的技术，监控效果还是较为明显，所以，这种方法一直以来是校园网流量控制的主要方法，虽然费用不菲。

(三)细化流量监管

通过分析，校园网络带宽的80%左右被P2P应用软件占据，对P2P流量管理不能采用“一刀切”的策略，可以分析校园网实际应用和应用时间变化，找到相应的方法和规律，科学制定校园网宽带管理策略。眼下，从保障教学和校园主要应用目的出发，分析校园网出口带宽的实际使用情况，管理策略可以基于对网内网段的区分和工作时间来进行制定。对网络IP地址的监控，先要对校园网内的网络IP网段进行级别区分，根据级别的高低，科学合理的制定管理策略，控制流量。比如校园网络内学生IP地址的流速可以低于用于教学科研方面IP地址的流速，正常的网页流量和网络邮件流速应该高于P2P流速。同时，还可以根据时间的合理规划来制定管理策略，对P2P等流量较大的网络应用限制在周末等闲暇时间，在正常工作时间，严格限制流量大的P2P等软件使用，错开流量需求。这种分级、分时控制管理，能够改变校园网络流量无序现状，从而为保障校园日常工作对网络的需求。

高校校园网中P2P应用软件的数目不断增加，流量也呈现逐渐增长的趋势。在这种情况下，为了保障正常的教学、科研和管理等工作，就必须对P2P流量进行有效的监控和管理，必须有针对性地对P2P应用选择禁止或限制策略，以保证校园网高效、稳定地为教育教学服务。随着科技的发展，用户安全意识的不断提高，P2P技术一定会逐步成熟起来，其在校园网中的应用就会更加普及和完善。

(责任编辑 远 扬)

[参考文献]

[1] 杨天路. P2P网络技术原理与系统开发案例[M]. 北京：人民邮电出版社，2007.

[2] 陆伟峰. 监视和控制网络出口BT流量[J]. 计算机安全，2005(2).

[3] 张爱萍. P2P网络技术综述[J]. 科技信息，2008(15) .

[4] 蒋海明，张剑英，王青青，彭娟. P2P流量检测与分析[J]. 计算机技术与发展，2008(7).