解決方案-P2P檢測與過濾器應(yīng)用.docx

P2P檢測與過濾器、告警應(yīng)用當(dāng)下P2P技術(shù)已經(jīng)成為互聯(lián)網(wǎng)上一個(gè)相當(dāng)流行的技術(shù)，無論是在下載，還是在流媒體應(yīng)用上，到處都可以看到P2P技術(shù)的影子。那么究竟什么是P2P，而它又能為客戶帶來如何的便利呢？P2P是英文Peer-to-Peer（對等）的簡稱，又被稱為“點(diǎn)對點(diǎn)”?！皩Φ取奔夹g(shù)，是一種網(wǎng)絡(luò)新技術(shù)，依賴網(wǎng)絡(luò)中參與者的計(jì)算能力和帶寬，而不是把依賴都聚集在較少的幾臺(tái)服務(wù)器上。著名的應(yīng)用例如BT，著名的工具如電驢、迅雷等下載工具，就是用的P2P技術(shù)。每個(gè)參與者在下載的同時(shí)，也要負(fù)責(zé)上傳內(nèi)容，當(dāng)下載的人越多的時(shí)候，速度也越快。這項(xiàng)技術(shù)不光應(yīng)用在下載上，在流媒體上也有著相當(dāng)廣泛的應(yīng)用。例如pplive、ppstream、cciptv等。凡是都有兩面性，當(dāng)用戶享受著P2P技術(shù)帶來的便利的同時(shí)，必然也會(huì)付出一定的代價(jià)。首先，P2P行為會(huì)占用大量的帶寬，導(dǎo)致整個(gè)網(wǎng)絡(luò)的運(yùn)行速度變慢，影響到網(wǎng)絡(luò)的正常應(yīng)用。其次，P2P的安全問題。1、P2P軟件本身的漏洞。例如使用電驢的用戶，電驢有時(shí)候會(huì)對WEB頁錯(cuò)誤地處理畸形請求。WEB一般發(fā)送的請求就是POST數(shù)據(jù)與GET數(shù)據(jù)，攻擊者可以基于這個(gè)原理發(fā)送一個(gè)畸形請求，從而造成電驢的崩潰，最后成功控制電驢主機(jī)。2、個(gè)人隱私泄密。P2P軟件保存下載的文件夾總是會(huì)被共享出來，用戶放在其中的信息都會(huì)被自動(dòng)共享出來。并且網(wǎng)絡(luò)管理機(jī)構(gòu)與P2P軟件開發(fā)商會(huì)對P2P軟件開放的端口掃描，以獲取相關(guān)信息。3、來自木馬、病毒的威脅。當(dāng)用戶用P2P軟件下載了包含了木馬、病毒的圖片、電影等，用戶的電腦就會(huì)被種上木馬。 在企業(yè)網(wǎng)絡(luò)管理當(dāng)中，對P2P行為的管理也是比較嚴(yán)格的，畢竟P2P行為會(huì)影響到企業(yè)網(wǎng)絡(luò)的應(yīng)用，對工作造成重大的影響。要對P2P進(jìn)行管理，首先得明確哪些是P2P行為。那么如何分辨出哪些是P2P行為呢？當(dāng)我們用科來軟件對有P2P應(yīng)用的網(wǎng)絡(luò)進(jìn)行了分析之后，我們發(fā)現(xiàn)P2P行為有以下特點(diǎn)：（1） 同時(shí)和多點(diǎn)進(jìn)行通信（2） 傳輸端口不穩(wěn)定，甚至采用UDP端口（3） 在接收流量的同時(shí)，大量發(fā)送流量（4） 能夠充分利用網(wǎng)絡(luò)帶寬資源。接下來，就讓我們用科來網(wǎng)絡(luò)分析軟件來實(shí)際分析一下P2P行為。打開PPS，利用科來進(jìn)行一段時(shí)間的抓包，我們獲得如下所示的圖表。在圖表中可以看到，在大約16:40:29的時(shí)候出現(xiàn)了流量的突發(fā)。利用率明顯上升，這符合了第四點(diǎn)：充分利用帶寬資源。然后我們看到概要。平均包長有些偏小，在大小包分布中，小包占據(jù)過多，而且遠(yuǎn)程IP地址數(shù)有135個(gè)，明顯不正常。并且TCP會(huì)話數(shù)小于UDP會(huì)話數(shù)，這也是不正常的。想到P2P的行為，就可以知道，其實(shí)在P2P開始連接的時(shí)候，會(huì)嘗試大量用TCP小包與其他主機(jī)取得聯(lián)系，這樣就解釋了為什么會(huì)有那么多的小包，而且遠(yuǎn)程IP地址數(shù)會(huì)出現(xiàn)那么多這就符合了第一點(diǎn)：同時(shí)和多點(diǎn)進(jìn)行通信。當(dāng)連接開始時(shí)，主機(jī)有時(shí)會(huì)采用UDP的方式來進(jìn)行傳輸。然后我們深入解析，在流量突發(fā)的時(shí)候，連接會(huì)話與數(shù)據(jù)包說了一些什么?？梢钥吹皆赥CP會(huì)話中有大量與:80的和與:80的會(huì)話，并且在主機(jī)上采用端口都是50000+的隨機(jī)端口，這就符合了第二點(diǎn)：傳輸端口穩(wěn)定，甚至采用UDP端口。點(diǎn)到數(shù)據(jù)流選項(xiàng)卡，我們可以看到主機(jī)的域名，并且連接是出于什么樣的狀態(tài)（CLOSE，KEEPALIVE等）關(guān)于UDP端口：可以看到，在UDP會(huì)話中，主機(jī)也是采用大量的隨機(jī)端口與別的主機(jī)通信，比如這一條，主機(jī)采用57309端口與38:17788通信，并且在數(shù)據(jù)中，我們可以發(fā)現(xiàn)主機(jī)正在進(jìn)行P2P行為的詳細(xì)內(nèi)容。在下載了一段時(shí)間以后，流量趨于平穩(wěn)，這時(shí)候我們就可以看到P2P行為的第三個(gè)特征，在接收流量的同時(shí)，還發(fā)送大量的流量。在企業(yè)中，網(wǎng)管不可能無時(shí)不刻地盯著流量的變化，所以科來提供了過濾和告警的功能方便網(wǎng)管來進(jìn)行管理。對于P2P行為，我們該如何設(shè)置過濾和告警呢？關(guān)于過濾，我們可以基于端口來進(jìn)行過濾，通常P2P行為動(dòng)用的端口都是TCP和UDP的動(dòng)態(tài)端口，我們需要設(shè)置到1024以后的端口來進(jìn)行過濾，科來還提供了bittorrent協(xié)議的過濾，大大方便了針對這類BT下載的管理。關(guān)于警報(bào)，我們可以基于利用率來進(jìn)行設(shè)置。一般情況下，網(wǎng)絡(luò)的利用率總是在0-30之間，P2P行為會(huì)充分利用網(wǎng)絡(luò)帶寬資源，帶來的結(jié)果就是利用率大大上升，所以我們可以設(shè)置到30以上，并且持續(xù)10秒，解除的時(shí)候?yàn)?0以下，持續(xù)5秒，這樣也可以免除一定的誤報(bào)信息。另外在P2P行為中，會(huì)有大量的大包出現(xiàn)來進(jìn)行數(shù)據(jù)的傳輸，我們也可以根據(jù)大包的數(shù)量來進(jìn)行