P2P导致流量异常对策

　　随着多种新型P2P应用的出现和繁荣，如BT和电驴等，在容易接受新事物的校园网用户内掀起了P2P下载的狂潮。笔者所在校园网的Internet出口总带宽是100M，随着使用P2P应用用户数量的迅猛增加，校园网的100M带宽被迅速吞噬。图1是从校园网MRTG流量监控系统上取得的，上线是上载流量，下线是下载流量，从图中可以看到，使用P2P工具的用户在下载完成后，继续打开着P2P软件，完成给网外用户的上传任务，所以造成了流量图中这样极为不正常的图形，即上传流量应该大大超过下载流量。

　　为何网管对上传流量大大超过下载流量这么敏感呢？早期笔者所在的校园网和宽带运营商签订合同的时候，运营商认为校园网主要是用户浏览和下载外部世界的资料，所以下载流量应该大大超过上传流量，而运营商可以把多余的这些上传流量卖给托管主机的ICP，这样对于宽带运营商来说，下载和上传流量都卖了个好价钱。而宽带运营商购买电信的带宽时，是买的对称的带宽大小。正是这个原因，运营商给笔者所在校园网一个相当优惠的价格，但是约定，下载可以到达100M，上传只能使50M，如果长期超过这个约定，价格另谈。出于这个原因，网管看到这样的流量图，当然很着急了。

　　另外，即使只考虑下载的问题，在正常P2P下载的情况下，由于P2P技术采用的是从多个节点（PEER）下载，每个用户能得到比常规下载大得多的速度，但是如果大家都这样想，都开着P2P软件下载电影等大型文件，那么下载的100M带宽也很快被堵死了。这样的情况下，别说下载，即使普通的网页浏览也变得非常缓慢。2003年以前校园网带宽只有10M的时候，用户浏览网页觉得很快，现在都扩容到100M，用户却反映打开网页的速度慢了。

图1 MRTG流量监控系统

　　P2P下载

　　使用FTP或者HTTP方式下载软件的时候，我们经常碰到这样情况，某个软件的人气越旺，下载越困难。原因很简单，服务器只有一个，网络带宽只有那么大，下载的人多了自然就会出现“僧多粥少”的局面。

　　BT（BitTorrent）的出现彻底解决了这个“悖论”，BitTorrent的逻辑是“下载的人越多，下载速度越快”。BT是一种多点共享协议和软件，由美国加州一名叫Bram Cohen的程序员开发出来。BitTorrent专门为大容量文件的共享而设计，它采用了一种有点像传销的工作方式。BT首先在上传者端把一个文件分成了很多部分，用户甲随机下载了其中的一些部分，而用户乙则随机下载了另外一些部分。

　　这样甲的BT就会根据情况（根据与不同电脑之间的网络连接速度自动选择最快的一端）到乙的电脑上去拿乙已经下载好的部分，同样乙的BT就会根据情况去到甲的电脑上去拿甲已经下载好的部分，这样不但减轻了服务器端的负荷，也加快了双方的下载速度。

　　实际上每个用户在下载的同时，也在作为源在上传（别人从你的电脑上拿那个文件的某个部分）。这种情况有效的利用了上行的带宽，也避免了传统的FTP大家都挤到服务器上下载同一个文件的瓶颈。而加入下载的人越多，实际上传的人也多，其他用户下载得就越快。

　　和通常的FTP、HTTP下载不同，使用BT下载不需要指定服务器，虽然在BT里面还是有服务器的概念，但下载的人并不需要关心服务器在哪里，只有发布原始共享文件的人才需要了解。提供BT的服务器称为Tracker，把文件用BT发布出来的人需要知道该使用哪个服务器来为要发布的文件提供Tracker。

　　由于不指定服务器，BitTorrent采用BT文件来确定下载源。BT文件后缀名为.torrent，容量很小，通常是几十K的样子，这个文件里面存放了对应的发布文件的描述信息、该使用哪个Tracker（记录下载用户信息的服务器）、文件的校验信息等。BT客户端通过处理BT文件来找到下载源和进行相关的下载操作。

　　控制P2P流量对策

　　对BT等P2P下载工具不加任何控制，将极大地消耗带宽，最终导致网络瘫痪。国外有些运营商已经实行了按流量计费的模式，可是目前在国内这种方式还不可行。在目前包月为主的情况下，部分使用BT的用户占用了大量的带宽，而其他用户则受到影响只能承受非常慢的速度，所以容许BT是对其他用户的不公平。

　　据有关资料统计，现有的网络中有超过70%的带宽被P2P通信占据着。P2P通信会导致异常的流量峰值，对网络资源造成意外的变形。所带来的网络拥塞、性能下降等问题，已影响到正常的网络应用，如WWW、Email等，缓慢的网页浏览和收发邮件速度更引起普通用户的不满。

　　我们校园网网管中心采用的对策是：

　　1.采用地址分段的策略，对于电教中心、图书馆等需要下载电影以及光盘资料的单位，可以无限制地放开P2P流量。

　　2.对于其他用户，根据校园网的健康状况，动态打开或者关闭P2P流量。一般情况，在中午12：00到下午2：00，以及晚上11：00以后到第二天上午8：00，开放P2P下载流量。

　　3.在校园网内搭设电影下载FTP服务器，把流量限制在宽带网内部，不让其占据出口的宝贵带宽。

　　从技术上来控制P2P流量

　　1.封锁TCP端口的方法已经失效

　　早期业界刚开始研究如何控制P2P流量如BT的时候，广泛采用的办法是控制BT等P2P下载软件使用的端口，比如标准的BT占用的端口是TCP 6881～6889，在防火墙或者路由器上用ACL封锁这些端口就能控制住P2P流量。但是BT等软件可以变换端口，封锁端口这种做法现在已经失效——BT已不再使用固定的6881～6889端口来通信，而是动态地使用端口。

　　而且，新型的P2P应用甚至有的采用了80端口（通常是http/Web来使用），比如KaZaA这种P2P软件就是可以使用端口80来通信的。再严厉的防火墙策略也不至于封锁80端口吧，所以KaZaA能穿透传统的基于IP和端口的防火墙和包过滤器。通过简单的基于IP和TCP端口的技术（分析IP包头、IP地址、端口号等）很难识别、跟踪或控制新型P2P通信。

　　2.在入侵检测设备上入手

　　随着P2P应用的不断增长，更多的通信协议被使用。识别和分类P2P的技术必须快速、简单，以适应这种技术的变化。现在，识别P2P通信的方法是在应用层分析数据包，看是否有某个应用协议的特征码，然后确定通信的种类。应用层分析数据包的基本方法是，如果应用层数据包的头部有“220 ftp server ready”的特征串，可以确定是在使用ftp程序；如果有“HTTP/1.1 200 ok”的特征串，可以确定是在使用http传送数据。

　　每一个P2P通信在下载连接前要有一个包含其特征串的预连接，例如，KaZaA使用80端口传送数据，但在预连接时会有“GET/.hash=”的特征串；如果有“BitTorrent protocol”的特征串，可以确定是在使用BT。

　　基于这样的认识，把需要控制的各种P2P协议特征提取出来，输入到入侵检测系统中，发现需要控制的P2P通讯，就采用和防火墙联动的策略，封锁即将进行的的P2P流量。这个工作，网络管理员可以和入侵检测设备厂商联系得到最新的策略库，从而大大减轻自己录入库和提取特征的工作。

　　3.在Cisco路由器上进行控制

　　Cisco路由器具备了NBAR这样的一种新功能，可以拿来有效地控制P2P流量的传输。NBAR（网络应用识别 Network-Based Application Recognition）是一种动态的、能在四到七层识别应用的技术，配合Cisco公司提供的PDLM（包描述语言模块Packet Description Language Module）可以识别P2P通信，要求IOS版本在12.x以上。Cisco在其官方网站上提供了三个PDLM模块，分别为KAZAA2.pdlm、bittorrent.pdlm和emonkey.pdlm，可以用来封锁KAZAA、BT、电驴。

　　我们以控制BT流量为例。

　　（1）下载bittorrent.pdlm文件。

　　（2）使用TFTP上传Bittorrent.pdlm到路由器的Flash中。

　　（3）加载此pdlm包。

　　ip nbar pdlm bittorrent.pdlm

　　（4）创建一个class-map和policy-map。

　　class-map match-all bittorrent

　　match protocol bittorrent

　　policy-map bittorrent-policy

　　class bittorrent

　　drop

　　（5）应用到某个接口上。

　　interface FastEthernet0

　　ip access-group control-bt in

　　service-policy input bittorrent-policy

　　4.在Linux的Iptables上控制。