科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道P2P导致流量异常对策

P2P导致流量异常对策

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着多种新型P2P应用的出现和繁荣,如BT和电驴等,导致带宽被迅速吞噬,下面为您介绍P2P导致流量异常的详细对策。

作者:陈维义 来源:网管员世界   2008年7月7日

关键字: p2p 数据安全 数据保护

  • 评论
  • 分享微博
  • 分享邮件

  随着多种新型P2P应用的出现和繁荣,如BT和电驴等,在容易接受新事物的校园网用户内掀起了P2P下载的狂潮。笔者所在校园网的Internet出口总带宽是100M,随着使用P2P应用用户数量的迅猛增加,校园网的100M带宽被迅速吞噬。图1是从校园网MRTG流量监控系统上取得的,上线是上载流量,下线是下载流量,从图中可以看到,使用P2P工具的用户在下载完成后,继续打开着P2P软件,完成给网外用户的上传任务,所以造成了流量图中这样极为不正常的图形,即上传流量应该大大超过下载流量。

  为何网管对上传流量大大超过下载流量这么敏感呢?早期笔者所在的校园网和宽带运营商签订合同的时候,运营商认为校园网主要是用户浏览和下载外部世界的资料,所以下载流量应该大大超过上传流量,而运营商可以把多余的这些上传流量卖给托管主机的ICP,这样对于宽带运营商来说,下载和上传流量都卖了个好价钱。而宽带运营商购买电信的带宽时,是买的对称的带宽大小。正是这个原因,运营商给笔者所在校园网一个相当优惠的价格,但是约定,下载可以到达100M,上传只能使50M,如果长期超过这个约定,价格另谈。出于这个原因,网管看到这样的流量图,当然很着急了。

  另外,即使只考虑下载的问题,在正常P2P下载的情况下,由于P2P技术采用的是从多个节点(PEER)下载,每个用户能得到比常规下载大得多的速度,但是如果大家都这样想,都开着P2P软件下载电影等大型文件,那么下载的100M带宽也很快被堵死了。这样的情况下,别说下载,即使普通的网页浏览也变得非常缓慢。2003年以前校园网带宽只有10M的时候,用户浏览网页觉得很快,现在都扩容到100M,用户却反映打开网页的速度慢了。

图1 MRTG流量监控系统

  P2P下载

  使用FTP或者HTTP方式下载软件的时候,我们经常碰到这样情况,某个软件的人气越旺,下载越困难。原因很简单,服务器只有一个,网络带宽只有那么大,下载的人多了自然就会出现“僧多粥少”的局面。

  BT(BitTorrent)的出现彻底解决了这个“悖论”,BitTorrent的逻辑是“下载的人越多,下载速度越快”。BT是一种多点共享协议和软件,由美国加州一名叫Bram Cohen的程序员开发出来。BitTorrent专门为大容量文件的共享而设计,它采用了一种有点像传销的工作方式。BT首先在上传者端把一个文件分成了很多部分,用户甲随机下载了其中的一些部分,而用户乙则随机下载了另外一些部分。

  这样甲的BT就会根据情况(根据与不同电脑之间的网络连接速度自动选择最快的一端)到乙的电脑上去拿乙已经下载好的部分,同样乙的BT就会根据情况去到甲的电脑上去拿甲已经下载好的部分,这样不但减轻了服务器端的负荷,也加快了双方的下载速度。

  实际上每个用户在下载的同时,也在作为源在上传(别人从你的电脑上拿那个文件的某个部分)。这种情况有效的利用了上行的带宽,也避免了传统的FTP大家都挤到服务器上下载同一个文件的瓶颈。而加入下载的人越多,实际上传的人也多,其他用户下载得就越快。

  和通常的FTP、HTTP下载不同,使用BT下载不需要指定服务器,虽然在BT里面还是有服务器的概念,但下载的人并不需要关心服务器在哪里,只有发布原始共享文件的人才需要了解。提供BT的服务器称为Tracker,把文件用BT发布出来的人需要知道该使用哪个服务器来为要发布的文件提供Tracker。

  由于不指定服务器,BitTorrent采用BT文件来确定下载源。BT文件后缀名为.torrent,容量很小,通常是几十K的样子,这个文件里面存放了对应的发布文件的描述信息、该使用哪个Tracker(记录下载用户信息的服务器)、文件的校验信息等。BT客户端通过处理BT文件来找到下载源和进行相关的下载操作。

  控制P2P流量对策

  对BT等P2P下载工具不加任何控制,将极大地消耗带宽,最终导致网络瘫痪。国外有些运营商已经实行了按流量计费的模式,可是目前在国内这种方式还不可行。在目前包月为主的情况下,部分使用BT的用户占用了大量的带宽,而其他用户则受到影响只能承受非常慢的速度,所以容许BT是对其他用户的不公平。

  据有关资料统计,现有的网络中有超过70%的带宽被P2P通信占据着。P2P通信会导致异常的流量峰值,对网络资源造成意外的变形。所带来的网络拥塞、性能下降等问题,已影响到正常的网络应用,如WWW、Email等,缓慢的网页浏览和收发邮件速度更引起普通用户的不满。

  我们校园网网管中心采用的对策是:

  1.采用地址分段的策略,对于电教中心、图书馆等需要下载电影以及光盘资料的单位,可以无限制地放开P2P流量。

  2.对于其他用户,根据校园网的健康状况,动态打开或者关闭P2P流量。一般情况,在中午12:00到下午2:00,以及晚上11:00以后到第二天上午8:00,开放P2P下载流量。

  3.在校园网内搭设电影下载FTP服务器,把流量限制在宽带网内部,不让其占据出口的宝贵带宽。

  从技术上来控制P2P流量

  1.封锁TCP端口的方法已经失效

  早期业界刚开始研究如何控制P2P流量如BT的时候,广泛采用的办法是控制BT等P2P下载软件使用的端口,比如标准的BT占用的端口是TCP 6881~6889,在防火墙或者路由器上用ACL封锁这些端口就能控制住P2P流量。但是BT等软件可以变换端口,封锁端口这种做法现在已经失效——BT已不再使用固定的6881~6889端口来通信,而是动态地使用端口。

  而且,新型的P2P应用甚至有的采用了80端口(通常是http/Web来使用),比如KaZaA这种P2P软件就是可以使用端口80来通信的。再严厉的防火墙策略也不至于封锁80端口吧,所以KaZaA能穿透传统的基于IP和端口的防火墙和包过滤器。通过简单的基于IP和TCP端口的技术(分析IP包头、IP地址、端口号等)很难识别、跟踪或控制新型P2P通信。

  2.在入侵检测设备上入手

  随着P2P应用的不断增长,更多的通信协议被使用。识别和分类P2P的技术必须快速、简单,以适应这种技术的变化。现在,识别P2P通信的方法是在应用层分析数据包,看是否有某个应用协议的特征码,然后确定通信的种类。应用层分析数据包的基本方法是,如果应用层数据包的头部有“220 ftp server ready”的特征串,可以确定是在使用ftp程序;如果有“HTTP/1.1 200 ok”的特征串,可以确定是在使用http传送数据。

  每一个P2P通信在下载连接前要有一个包含其特征串的预连接,例如,KaZaA使用80端口传送数据,但在预连接时会有“GET/.hash=”的特征串;如果有“BitTorrent protocol”的特征串,可以确定是在使用BT。

  基于这样的认识,把需要控制的各种P2P协议特征提取出来,输入到入侵检测系统中,发现需要控制的P2P通讯,就采用和防火墙联动的策略,封锁即将进行的的P2P流量。这个工作,网络管理员可以和入侵检测设备厂商联系得到最新的策略库,从而大大减轻自己录入库和提取特征的工作。

  3.在Cisco路由器上进行控制

  Cisco路由器具备了NBAR这样的一种新功能,可以拿来有效地控制P2P流量的传输。NBAR(网络应用识别 Network-Based Application Recognition)是一种动态的、能在四到七层识别应用的技术,配合Cisco公司提供的PDLM(包描述语言模块Packet Description Language Module)可以识别P2P通信,要求IOS版本在12.x以上。Cisco在其官方网站上提供了三个PDLM模块,分别为KAZAA2.pdlm、bittorrent.pdlm和emonkey.pdlm,可以用来封锁KAZAA、BT、电驴。

  我们以控制BT流量为例。

  (1)下载bittorrent.pdlm文件。

  (2)使用TFTP上传Bittorrent.pdlm到路由器的Flash中。

  (3)加载此pdlm包。

  ip nbar pdlm bittorrent.pdlm

  (4)创建一个class-map和policy-map。

  class-map match-all bittorrent

  match protocol bittorrent

  policy-map bittorrent-policy

  class bittorrent

  drop

  (5)应用到某个接口上。

  interface FastEthernet0

  ip access-group control-bt in

  service-policy input bittorrent-policy

  4.在Linux的Iptables上控制。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章