蔡琴

摘 要：文章指出，隨著P2P技術(shù)的發(fā)展，P2P應(yīng)用通信流量巨大、無固定服務(wù)端口、檢測困難，會無限消耗大量網(wǎng)絡(luò)帶寬，單純的網(wǎng)絡(luò)擴容已無法解決網(wǎng)絡(luò)壓力問題。通過部署ANYVIEW流量監(jiān)控對校園網(wǎng)絡(luò)P2P進行控制，用戶可以自定義策略使用更靈活的流量管理，即時發(fā)現(xiàn)異常的網(wǎng)絡(luò)流量，準確定位出異常流量的位置，監(jiān)控非法內(nèi)容，及時做出相應(yīng)的應(yīng)急反應(yīng)，確保校園網(wǎng)絡(luò)正常運行。

關(guān)鍵詞：P2P;流量管理;流量監(jiān)測;端口掃描

0 引言

隨著數(shù)字化校園網(wǎng)絡(luò)的建設(shè)，校園網(wǎng)絡(luò)支撐的業(yè)務(wù)越來越廣泛，規(guī)模也越來越大，視頻點播、迅雷、電驢下載、BT下載等多種技術(shù)手段日益豐富，這些新的應(yīng)用業(yè)務(wù)對網(wǎng)絡(luò)的底層流量模型和上層應(yīng)用模式產(chǎn)生很大的沖擊。這類網(wǎng)絡(luò)技術(shù)手段具有通訊流量巨大、種類繁多、無固定服務(wù)端口、特征變化迅速、檢測困難等特點，使用中經(jīng)常出現(xiàn)網(wǎng)絡(luò)流量不暢、信息堵塞、鏈路連接緩慢，網(wǎng)絡(luò)病毒大量傳播等問題，影響校園網(wǎng)絡(luò)正常使用。為有效地管理校園網(wǎng)內(nèi)P2P流量，對網(wǎng)絡(luò)流量實施監(jiān)控，迫切需要安裝專門的流量監(jiān)控軟件來提高網(wǎng)絡(luò)效用，合理規(guī)劃流量，調(diào)整網(wǎng)絡(luò)運行效果，有效控制病毒傳播[1]。

網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)對網(wǎng)絡(luò)內(nèi)到達本地服務(wù)器的所有數(shù)據(jù)包進行分析，通過掌握監(jiān)測流量，統(tǒng)計異常流量，收集網(wǎng)絡(luò)狀態(tài)和行為信息，分析網(wǎng)絡(luò)的性能指標，得到預(yù)警信息后確定攻擊源，迅速報警采取措施，保護服務(wù)器不被異常信息破壞，提高數(shù)據(jù)安全性。高效的網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)可實現(xiàn)對擁塞鏈路的監(jiān)測，進行數(shù)據(jù)分析管理，查找影響網(wǎng)絡(luò)性能的異常因素。提高網(wǎng)絡(luò)運行速度，加強對全網(wǎng)安全管理的能力[2-3]。

1 傳統(tǒng)流量管理對P2P應(yīng)用管理時存在困難

傳統(tǒng)的流量控制用于IP專用端口掃描分析，對HTTP協(xié)議產(chǎn)生的流量控制非常有效。但隨著P2P技術(shù)的發(fā)展，P2P協(xié)議的應(yīng)用導致通訊流量巨大、無固定服務(wù)端口，傳統(tǒng)檢測就變得無效。BT下載和新的傳媒載體的應(yīng)用也使得網(wǎng)絡(luò)流量急劇增長，影響其他正常應(yīng)用的運行。P2P應(yīng)用還可能會無限消耗可用帶寬，單純的網(wǎng)絡(luò)擴容無法解決網(wǎng)絡(luò)擁塞的本質(zhì)問題，使網(wǎng)絡(luò)運營和維護成本大幅度增長[4]。

1.1 P2P應(yīng)用會阻塞常用端口

IANA（互聯(lián)網(wǎng)號碼分配機構(gòu)）為每個應(yīng)用都規(guī)劃了專用的服務(wù)端口，通過檢測TCP或UDP實現(xiàn)網(wǎng)絡(luò)流量的分類，有些P2P應(yīng)用為規(guī)避檢測，降低或者違反了服務(wù)條約，拒絕用戶的正常通信要求，導致P2P應(yīng)用轉(zhuǎn)向使用隨機端口和專用端口，例如有的應(yīng)用使用HTTP80端口躲避內(nèi)容檢查。由于P2P流量無需通過安全驗證就直接發(fā)布，未經(jīng)審核的非法信息都可以通過P2P快速傳播，容易引起法律層面及網(wǎng)絡(luò)安全方面的問題。節(jié)點間由于沒有效認證機制，給網(wǎng)絡(luò)匯聚層和核心層帶來壓力，易出現(xiàn)路由攻擊和分隔式攻擊，增加數(shù)據(jù)安全隱患[5]。

1.2? P2P應(yīng)用使用NAT技術(shù)隱藏用戶IP

NAT穿越技術(shù)在P2P軟件中的廣泛應(yīng)用，P2P流量具有很強的隱蔽性，它們通常繞開常用端口，使用隨機端口或是用戶自定義端口。同時變化特征碼，加深P2P流量的隱蔽性。P2P對等端可使用代理服務(wù)器的方法躲避檢測，導致P2P信息服務(wù)節(jié)點向隨機分布和隱藏的方向發(fā)展。P2P應(yīng)用采用動態(tài)端口，傳統(tǒng)的端口識別技術(shù)已經(jīng)無法識別網(wǎng)絡(luò)中的50%～70%的流量的應(yīng)用類型。

1.3 阻塞對等端向P2P信息節(jié)點發(fā)出的通信

不再使用傳統(tǒng)的C/S（Client/Server）網(wǎng)絡(luò)架構(gòu)，所有網(wǎng)絡(luò)節(jié)點關(guān)系是對等的，各節(jié)點同時具有接收、存儲、發(fā)送和集成的功能，以及元數(shù)據(jù)的搜索和被搜索等功能。也不再需要中央服務(wù)器，內(nèi)容節(jié)點分布在靠近用戶的網(wǎng)絡(luò)P2P節(jié)點上，使業(yè)務(wù)實現(xiàn)從集中向分布的演化，各節(jié)點既是資源的提供者又是資源的獲取者。這個特征導致路由選擇極端復(fù)雜，容易在網(wǎng)絡(luò)中形成多個擁塞節(jié)點，阻塞對等端的業(yè)務(wù)通信，造成匯聚層和核心層網(wǎng)絡(luò)流量的巨大壓力。并且，如果內(nèi)容節(jié)點感染了病毒，因為具有共享和通信機制，病毒會以更快的速度向相鄰節(jié)點擴散。

1.4 用戶的上行帶寬被限

P2P流量特性的分布有明顯的非均衡性，表現(xiàn)在上下行流量的非對稱性，也就是網(wǎng)絡(luò)中大部分節(jié)點的數(shù)據(jù)流量都是從為數(shù)較少的一些節(jié)點獲取，成為P2P網(wǎng)絡(luò)流量區(qū)別于其他流量的主要特征。大量的P2P網(wǎng)絡(luò)應(yīng)用程序同時進行資源上傳時，會對于上行流量造成極大的擠占，造成外部用戶訪問內(nèi)部網(wǎng)絡(luò)速度變慢。

2 部署ANYVIEW流量監(jiān)控對校園網(wǎng)絡(luò)P2P流量控制

2.1? 分級限制用戶的上網(wǎng)流量

ANYVIEW可以充分考慮用戶的自定義策略，提供更靈活的流量管理。用ANYVIEW流量控制功能完成上網(wǎng)用戶的身份識別和類別識別后進行上網(wǎng)流量的限制，以抑制校園網(wǎng)中P2P流量。例如，先由網(wǎng)絡(luò)中心工作人員將校園網(wǎng)內(nèi)的上網(wǎng)用戶身份進行分類，分成教師、行政辦公人員、學員。按工作時間分為工作時段和休息時段，然后運用差分算法算出流量均值作為各類用戶上網(wǎng)的流量閥值，設(shè)置參數(shù)，包括即時帶寬峰值、高峰上網(wǎng)時間段、會話并發(fā)最大數(shù)等，都可以運用差分算法算出流量均值。這項措施有效保障了校園網(wǎng)絡(luò)的流暢性，但也有正常用戶在使用較大流量的應(yīng)用時，因網(wǎng)絡(luò)限制而無法完成。

2.2? 異常流量監(jiān)測分析

ANYVIEW流量監(jiān)測功能對網(wǎng)絡(luò)中的Flow信息進行分析，以數(shù)據(jù)包報文特征字檢測為主，發(fā)現(xiàn)定位網(wǎng)絡(luò)中的異常流量攻擊，通過抓包或行為分析等方式，實現(xiàn)異常流量自動檢測，并進行實時監(jiān)控。P2P會產(chǎn)生大量連接數(shù)，如果采用網(wǎng)關(guān)模式設(shè)置并發(fā)連接數(shù)，可以起到限制流量的作用，但如果要徹底控制P2P應(yīng)用，還需要使用ANYVIEW的監(jiān)控協(xié)議對應(yīng)用層的數(shù)據(jù)包檢測，分析特征串，找到P2P應(yīng)用協(xié)議，識別流量中的載荷信息。檢測到實時數(shù)據(jù)，綁定MCA地址和IP地址，準確定位出異常流量的位置，做出相應(yīng)的應(yīng)急反應(yīng)，減少平均故障響應(yīng)時間，提高維護效率，確保校園網(wǎng)絡(luò)正常運行。

2.3 應(yīng)用監(jiān)控服務(wù)分析

ANYVIEW應(yīng)用監(jiān)控技術(shù)對綜合包分析，在復(fù)雜的寬帶網(wǎng)絡(luò)環(huán)境下，滿足寬帶IP網(wǎng)絡(luò)的整體監(jiān)測要求。通過統(tǒng)一管理平臺流量分析系統(tǒng)，對重點群體、重點時段、重點部分的異常訪問進行分析和預(yù)警，并輸出用戶流量數(shù)據(jù)報表，提供設(shè)備的統(tǒng)一維護管理。通過網(wǎng)絡(luò)流量上行、下行速度進行限制，觀察分析報表封殺重點端口，有效控制P2P應(yīng)用。由于網(wǎng)絡(luò)協(xié)議特征識別P2P流量主要是通過TCP包和UDP包，ANYVIEW可以針對指定的協(xié)議TCP/UDP和全系統(tǒng)列端口，設(shè)置過濾白名單和黑名單進行分級別管理。

2.4 內(nèi)容監(jiān)控服務(wù)分析

ANYVIEW應(yīng)用內(nèi)容監(jiān)控服務(wù)主要針對互聯(lián)網(wǎng)低俗、反動、病毒等非法內(nèi)容進行監(jiān)測和控制，還可通過對POP/SMTP郵件的收發(fā)監(jiān)視和WEBMAIL的發(fā)送監(jiān)視，對郵件進行攔截和控制。尤其是一些聊天軟件采用的是動態(tài)端口，用傳統(tǒng)流量監(jiān)控方式很難直接限制，需要用內(nèi)網(wǎng)監(jiān)控進程的方式進行。對不法的上網(wǎng)方法可以根據(jù)情況采用探測、收集、限制、阻斷、記錄，以管理整個上網(wǎng)資源，規(guī)范網(wǎng)絡(luò)有效合法使用，完成對網(wǎng)絡(luò)內(nèi)容的監(jiān)控。

2.5 策略服務(wù)功能

運用規(guī)則對IP地址、端口、行為特征各類數(shù)據(jù)進行設(shè)置，開展策略服務(wù)。對上網(wǎng)行為、聊天行為、流量帶寬、端口限制、自定義限制、ACL規(guī)則限制、郵件限制等設(shè)置各層優(yōu)先級，來確保校園網(wǎng)絡(luò)中關(guān)鍵業(yè)務(wù)所需的網(wǎng)絡(luò)帶寬。還可針對重點的分組對象，對其訪問網(wǎng)絡(luò)過程進行記錄統(tǒng)計。通過對應(yīng)用進行策略分析，準確掌握用戶上網(wǎng)行為，為進一步優(yōu)化校園網(wǎng)絡(luò)提供理論依據(jù)。

3 控制P2P流量提高網(wǎng)絡(luò)運行能力優(yōu)勢

3.1 提高網(wǎng)絡(luò)鏈路利用率

提高網(wǎng)絡(luò)鏈路利用率，盡可能保障校園網(wǎng)中的關(guān)鍵資源和關(guān)鍵業(yè)務(wù)的穩(wěn)定運行。在不增加帶寬的前提下，滿足關(guān)鍵業(yè)務(wù)的帶寬需求，提升網(wǎng)絡(luò)鏈路訪問互聯(lián)網(wǎng)的質(zhì)量和速度。在空閑時，帶寬可被其他優(yōu)先級別不高的業(yè)務(wù)使用。對比服務(wù)器和內(nèi)網(wǎng)使用情況智能分配帶寬，例如首先滿足校園網(wǎng)絡(luò)中教學、科研、辦公等資源業(yè)務(wù)，其次保障學員的日常使用等，這需要校園網(wǎng)管理人員掌握各應(yīng)用的流量，根據(jù)上網(wǎng)數(shù)據(jù)流量的參數(shù)，合理配制網(wǎng)絡(luò)帶寬，做到負載均衡，提高網(wǎng)絡(luò)鏈路利用率。

3.2 控制網(wǎng)絡(luò)病毒

校園網(wǎng)絡(luò)有接口多、共享多、應(yīng)用復(fù)雜、網(wǎng)絡(luò)病毒易濫等特點，由于P2P應(yīng)用，校園網(wǎng)絡(luò)受病毒攻擊變得更具多樣性。網(wǎng)絡(luò)流量監(jiān)控支持從多個角度監(jiān)控網(wǎng)絡(luò)服務(wù)器流量情況，保障重要服務(wù)器帶寬，限制普通服務(wù)器帶寬，監(jiān)控異常服務(wù)，快速定位攻擊服務(wù)器的攻擊源，并及時阻斷對服務(wù)器的網(wǎng)絡(luò)攻擊，提高服務(wù)器穩(wěn)定性。

3.3 監(jiān)控網(wǎng)絡(luò)資源

對那些與業(yè)務(wù)無關(guān)并會消耗大量帶寬的信息，進行精準控制，減少其對網(wǎng)絡(luò)資源的占用，提高辦公業(yè)務(wù)的速度。通過流量監(jiān)控可以使網(wǎng)絡(luò)管理員迅速直觀了解網(wǎng)絡(luò)使用情況，精準管控網(wǎng)絡(luò)內(nèi)人員的上網(wǎng)行為，并對有些行為進行分時限止，提高辦公工作效率。比如：不能在上班時間刷抖音、玩游戲，對人員上網(wǎng)行為進行安全審計，P2P下載限制，查看工作人員登陸的論壇、微信、QQ聊天記錄，防止網(wǎng)絡(luò)泄密等。

3.5 網(wǎng)絡(luò)優(yōu)劃與規(guī)劃，提供決策支持

實時了解骨干鏈路上P2P流量所占的比例可以幫助網(wǎng)絡(luò)運營商科學合理的擴容帶寬，通過數(shù)據(jù)量化為帶寬擴容提供決策支持。精細化網(wǎng)絡(luò)管理，分析用戶的上網(wǎng)習慣和行為，實現(xiàn)差異化管理控制。對網(wǎng)絡(luò)上的數(shù)據(jù)流量進行有效預(yù)處理，將數(shù)據(jù)流區(qū)分成P2P流量和非P2P流量，對數(shù)據(jù)挖掘和數(shù)據(jù)分析有重要意義。要提高網(wǎng)絡(luò)管理人員的全面的分析和決策能力，為網(wǎng)絡(luò)管理、優(yōu)化與規(guī)劃提供科學的依據(jù)。

4 結(jié)語

對校園網(wǎng)絡(luò)來說，P2P流量中很大一部分都屬于BT下載、視頻、搜狗、迅雷、電驢等應(yīng)用，這些應(yīng)用數(shù)據(jù)龐大，給整個網(wǎng)絡(luò)帶寬帶來很大壓力，使得網(wǎng)絡(luò)效能不高且易阻塞。使用ANYVIEW對校園網(wǎng)流量進行管理，可對非法P2P流量進行動態(tài)分析，為整個校園進行策略服務(wù)，進行帶寬限制，使用戶的P2P下載速度下降，病毒減少，非法內(nèi)容得到監(jiān)控。盡管有些流量較大業(yè)務(wù)被限止，但保證了校園網(wǎng)整體運行質(zhì)量，對流量較大業(yè)務(wù)也可進行專線服務(wù)，或是分時保障。開啟ANYVIEW流量限制功能，可對整個校園進行監(jiān)控服務(wù)，保證了整體業(yè)務(wù)功能，實現(xiàn)了智能化控制整個網(wǎng)絡(luò)，提高了教師和辦公使用網(wǎng)絡(luò)的效率，全面推動校園網(wǎng)絡(luò)的可持續(xù)發(fā)展。

[參考文獻]

[1]張宇翔，張宏科.一種層次結(jié)構(gòu)化P2P網(wǎng)絡(luò)中的負載均衡方法[J].計算機學報，2010（9）：1580-1590.

[2]李鑫，劉東林.基于統(tǒng)計特征的P2P流量檢測方法[J].計算機工程，2010（5）：114-117.

[3]魯剛，張宏莉，葉麟.P2P流量識別 [J].軟件學報，2011（6）：1281-1298.

[4]陶福貴，康俊霞.高職校園網(wǎng)P2P流量管理研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（5）：217-218.

[5]田朔瑋，楊岳湘，何杰.基于統(tǒng)計特征的P2P流量實時識別方法[J].計算機工程與設(shè)計，2016（5）：281-285.

[6]穆箏，吳進，許書娟.高速網(wǎng)絡(luò)下P2P流量實時識別研究[J].理論研究，2015（5）：71-76.

（編輯 傅金睿）