P2P流量监控分析

1、P2P基本概念

P2P (Peer-to-Peer)是一种对等网络计算技术,它利用客户端的处理能力,

实现网络中点对点的通信。在P2P的网络环境中,成千上万台彼此连接的计算机都处于对等地位,整个网络一般不依赖于专用的集中服务器,网络中的每一台计算机既能充当网络服务器,又能对其他计算机的请求做出回应,提供资源与服务。

P2P技术允许数据分散存放在多个节点上,而不是存放于专用服务器上,也可以是特殊终端,如机顶盒、PDA、传感器等等,也可用于基因数据库检索和密码破解等需要大规模计算能力的应用。P2P应用广泛,不仅用于人们最熟悉的P2P文件共享和下载、流媒体在线播放,还可用于数据存储、实时通讯、协同工作环境、P2P应用层组播、P2P搜索技术等应用。

2、P2P流量的监管分析

2.1 P2P流量特征及其危害

P2P流量特征表现如下:(1)有固定的流量特征。大多数的P2P流量都有比较固定的特征,如固定的关键字或端口号具有特定的二进制串或者字符串,这为P2P流量监测技术带来了 一定程度上的便利。(2)数据量大目前流行的P2P应用主要是文件下载、流媒体等,而下载文件类型主要是音频、视频等大型文件,当用户在线观看或下载时会产生大量的数据。大量宽带被P2P应用占用,影响了正常用户的上网速度。(3)一直在线大文件的下载需要的时间长,所以用户会不分时段地进行P2P高速下载,容易造成局峰时段的链路拥塞。(4)上下行流量基本对称与传统业务不同,P2P应用上下行流量基本对称,甚至上行流量大于下行流量。P2P用户高速率下载娱乐影音文件,消耗大量带宽。P2P应用占据了60%—80%的网络带宽,仅将剩余带宽留给非P2P用户,这对传统非对称、尽量支持下行的网络设备造成了性能上的影响,同样容易造成上行链路拥塞。(5)安全机制P2P软件允许单个用户通过P2P网络端到端的传输、共享任何内容,相互之间容易带来病毒、蠕虫或其他的恶意代码,也容易造成个人或企业泄密。

2.2 P2P流量监管难点

P2P流量监管难点主要体现在以下3点:

(1)P2P流量合理识别

P2P流量合理有效的识别应包含如下内容:第一,P2P流量的特征必须具有良好的可区分性质;第二,识别P2P流量及整个覆盖网络,这样才可能依据提出新的积极防御模式和机制。现在有很多P2P采用了动态端口,增加了 P2P流量识别难度。如何采用新的流量识别模型,而不仅仅停留在一些固定的识别方法,以便对P2P流量进行更好的识别和监控,是P2P流量管理的重点也是难点。

(2)P2P应用的快速发展

P2P应用在近年内的发展由简单到复杂,由低级到高级。网络结构也经历了由中心控制到全分布式的变化。从早期的采用容易检测、便于管理的固定端口号。逐渐发展到采用伪装HTTP、加密、传输分块等具有反侦察意识,来逃避识别和检测。如何针对快速发展的P2P应用,根据它的不变传输特性建立相应的分析模型,提出新的理论框架是如今比较有挑战性的问题。

(3)数据采集分析

要对P2P流量进行管理必须解决在线流量检测问题。如何能够设计高效的实现在线快速检测和过滤成为一个难题。同时,网络设备的存储能力和处理能力有限,为了节省资源,算法需要适应网络流量的动态变化,使能够检测到的信息量最大、过滤的效果最大。这涉及两个关键的要素:高速数据釆集处理和海量数据分析处理。

2.3 P2P流量管理步骤

对P2P流量进行有效管理,保障网络利用的高效性,避免在网络出现瓶颈阻塞,主要有以下5大步骤:

(1)识别并分类:根据应用程序的来源域、目标域、应用类别、协议和其他应用特征,对数据流进行识别并分类。协议分析引擎不仅仅对静态端口、IP地址等作分析,更需要深入到OSI网络模型的第七层对信息进行应用层分类,对各种应用程序进行精确定位。

(2)控制:按管理员要求,精确地对用户定义带宽策略。针对特定应用定义相应用的带宽分配级别,以及应用的最大带宽、最小保证带宽等参数,有效保证用户的应用,限制如P2P之类的非关键应用;针对用户,能够保障多数用户的资源的使用。能够主动地同时控制入站和出站的信息量,以避免阻塞、防止不必要的数据包丢弃,力保平稳的流量,实现吞吐优化。

(3)分析:根据当前状况对网络效率进行分析,然后通过分类、收集信息,生成带宽利用率、响应时间以及其他的数据,通过分析这些数据优化参数。

(4)调整:根据程序的分析生成的调整参数,智能地调整当前的处理策略,实现网络优化。

报告:根据用户的需求,提供网络运行的详细报告,定期生成统计分析报表及优化策略,提供系统日志,提供完善的系统报警信息等。

3、P2P 流量的控制方法

目前管控互联网P2P流量的技术主要有如下两种:直路串接流量控制、旁路干扰控制。直路串接流量控制通常直接串连到网络链路上进行P2P流量监控,通过对该条链路上的各种类型的应用流量进行分类识别的基础上,可以方便地实现对不同类型的业务类型及流量实施灵活的管控策略,提供不同的业务Q0S 优先级。该方法的优点是直路串接流量控制方式可以采用流量整形、滑动窗口、令牌桶、流量限速及带宽保证等方法对P2P流量实现平滑的管控;通过无源的光路保护器实现μs级的故障保护快速切换。存在的问题是所有的网络数据流都要经过设备处理再进行转发,容易带来附加延时,引起网络服务的质量问题。另外,由于检测设备必须部署到网络流量真实路径上,有可能形成处理瓶颈和单点故障;直路串接方式对设备的处理和转发性能要求都很高。

旁路干扰控制方式主要采用数据包截获伪装技术将伪装的干扰数据包发到正在通信的TCP/UDP连接中,通过降低连接的数据传输速率或者切断连接以达到流量控制的目的。

由于P2P 数据传输可能采用TCP 或UDP 方式,因此旁路干扰控制的流量控制方法有:TCP截断,通过伪造并发送TCP RST报文来截断TCP连接;TCP降速,通过伪造并发送特殊sequence报文来减小TCP的滑动窗口值;UDP截断,通过伪造并发送P2P应用层特殊控制命令方式来截断UDP连接;UDP 降速,通过伪造并发送P2P 应用层特殊控制命令方式来降低UDP连接的传送速率。该方法的优点是采用旁路(分光或镜像)流量分析模式,避免设备直接串接在链路上,避免了对原有网络性能造成任何影响。并且还可以通过同Radius服务器进行联动,实现精确到对单个用户的Q0S 流量管理等。缺点是需要引入分光设备或镜像交换设备,并且需要占用交换设备的一个端口用于干扰电路的接入;由于采用了发送干扰伪造报文拆链方式,对流量的控制会产生锯齿波动而影响网络性能。