一種基于Netfilter的P2P流量控制系統的實現

楊軒

（四川大學計算機學院，四川　610095）

一種基于Netfilter的P2P流量控制系統的實現

楊軒

（四川大學計算機學院，四川610095）

0　引言

近年，伴隨著P2P技術和應用的快速發展，在整體互聯網的流量中，P2P流量已經占據了其中的很大一部分［1］，這不僅對互聯網資源帶來負擔，同時也對其他資源如通信資源帶來了不便。因此，如何對P2P的流量進行控制成為了日益受到關注的問題。現有的流量控制技術核心是流量識別，最初的識別方式是以細分的形態識別出每條流，然后針對性地進行控制，但是由于通信方式越來越復雜，以及應用通信的端口不確定性增加，因此這樣的識別方法已經無法滿足當前的需要。近年來，學者提出了基于應用層特征的識別方法和基于流的行為特征的識別方法，這兩種方式各有優點，前者的細分程度較高后者的效率較高，但也各有缺點，前者對加密協議無法識別，而后者資源消耗較大。

從2003年開始，學者J.Early等提出了通過統計TCP流每個包到達時間、包平均值等特征來識別一些主流協議，2004年，Subhabrata Sen等提出基于應用簽名的P2P流量檢測方法，是深層數據包檢測方法的一種。2005年，Thomas Karagiannis等首次提出了基于傳輸層的協議識別思路，從2007年開始，有學者提出基于Netfilter框架進行P2P流量識別的觀點，此后不斷有學者進行基于Netfilter框架的研究，2012年，有學者研究了基于Netfilter的防火墻和連接跟蹤機制。

針對上面的問題，本文設計并實現了一種保留傳統識別方法的基礎上，結合對流量特征的分析，基于Linux內核的Netfilter模塊，利用其可擴展的特性，設計一種P2P流量進行混合識別的系統，并利用TC控制實現對網絡流量控制，從而達到對網絡資源合理利用的目的。

1　體系結構

1.1Netfilter框架

本系統實現的流量識別和控制功能基于Linux的Netfilter框架，因此簡單介紹一下Netfilter框架。Linux系統從內核2.4版本開始新增Netfilter結構［2］，它是一種獨立的防火墻底層模塊，對不同類型的網絡定義了鉤子節點，由一系列基于協議棧的鉤子所組成，內核模塊可以對一個或者多個鉤子點注冊掛載鉤子函數。例如對IP協議，定義5個鉤子函數［3］：當數據進入系統后，先通過第一個掛載點NF_IP_PRE_ROUTING注冊的鉤子函數進行處理。如果該數據包是發送給本機，則通過NF_IP_LOCAL_IN的函數處理進入本地用戶空間的數據包，然后傳遞到上層協議，如果該數據包需要轉發，則通過NF_IP_FORWARD的函數處理。對于需要發送到網絡層的數據包，要經過NF_IP_POST_ROUTING的函數處理以后，才可以發送到網絡層。對于網絡層以上的數據包需通過NF_IP_LOCAL_OUT的函數處理后，再進行路由選擇，然后由NF_IP_POST_ROUTING函數處理。

1.2系統框架

本系統的設計是基于Linux 2.6內核版本的設計，在Netfilter的框架下，識別出P2P流量，根據對流量限制的具體需求，對P2P流量進行控制，系統架構如圖1所示。

圖1　系統架構

1.3系統模塊

系統包含Web頁面配置模塊，流量識別模塊和流量控制模塊共三個模塊。其中配置模塊功能是讓用戶指定限制P2P應用的最大帶寬，流量識別模塊利用現有的幾種流量識別方法混合式識別，流量控制模塊則根據用戶的配置限制P2P應用的帶寬，如未指定則根據系統默認值進行限制。

2　系統的設計與實現

2.1流量識別模塊

系統的流量識別模塊主要采用混合式識別方式，主要包括端口識別、基于P2P流連接特性的識別和協議特征串的匹配識別。本系統的設計原則為保證對P2P流量識別正確識別的同時，降低系統對正常網絡流量的誤判，避免造成對正常服務網絡的影響。當流入流量進入系統后，通過端口識別過濾之后的流量再進行P2P應用特性連接識別，在這部分，本系統設置了一個比較高的判斷閾值，以此降低系統對非P2P流量的誤判。剩余的流量再進入下一個判斷過程，特征協議串的識別。流量通過整個系統的識別之后，最后的識別結果中仍然可能會有少量的未識別的P2P流量，但這少量的未識別的流量對正常的網絡服務不會造成太大的影響。因此這樣的設計確保了系統的識別效率較高，且不影響正常的網絡服務流量。其流程如下圖2所示。

圖2　流量識別流程圖

（1）端口識別。盡管現階段的很多新的P2P應用涌現，而且技術也越來越先進，但還是有部分實際的P2P應用采取默認端口的方式，并且端口識別的速度快，實時性也好，因此可以把默認端口的識別方式作為一種識別手段，首先過濾出一部分P2P流量，也由于一些其他的應用流量可以利用端口技術來過濾點，因此本系統仍然保留端口識別技術。

（2）P2P應用連接特性識別。目前的P2P網絡主要混合結構和多服務器結構，這種結構的P2P網絡有明顯的TCP和UDP鏈接特性。當一個連接建立的時候，目的IP地址會向多個服務器發起建立連接的請求。另外由于P2P網絡節點的隨時可加入或者離開的特性,導致會有很多的TCP或者UDP包用來保證網絡連接的可靠性,因此可以根據TCP或者UDP的連接特性來識別P2P流量［5］。盡管還有其他的應用也會使用TCP 和UDP傳輸協議，但不同點在于P2P應用會大量并發地建立TCP或者UDP數據流，因此可以將其和其他應用區別開［6］。定義如下幾個概念：不同目的端口數（dd_ port），不同源端口數（ds_port），不同目的地數目（dd_number）,與客戶端相連接的外部對等點數目n。TCP和UDP流量可以根據幾個變量之間的關系進行判斷，判斷依據是針對一個時間段內的應用連接特性，對TCP流量：若某1分鐘源IP向7個以上的目的IP發送了SYN包，則認為這個是P2P連接［7］；對UDP流量，若10秒內UDP的數量大于3，則認為是P2P連接［7］。為了降低系統對正常網絡流量的誤判，避免造成對正常服務網絡的影響，本系統對判斷閾值進行了提高，具體是將TCP流量的判斷標準提高到1分鐘源IP向目的IP發送SYN包的數量由7個提高到10個。UDP流量的判斷條件是將10秒內的UDP數量由3個提高到5個，以此保證系統的識別正確率。

對于TCP流量滿足如下公式：

對于UDP流量滿足如下公式：

（3）特征協議串識別。在流量傳輸一段時間后，根據該流量傳輸過程中的特性統計分析后判斷是否屬于P2P流量。對未能判斷出來的流量，進行特征協議串的匹配識別，本系統采用BF（Brute Force）算法。BF算法是一種簡單的單模式串匹配算法，假定pattern是一長度為n的字符串，希望被確定的pattern出現在字符串中最左的位置為i，則BF算法是通過判斷字符串中的每個字符和由該字符開始的n個字符串是否和pattern匹配。通過一個二次循環實現，其中內層循環檢測當前需要被驗證的字符串與特征串相同長度的窗口文本是否相匹配。而外循環則移動窗口，每次都向右移動一個位置，然后遍歷文本字符串。BF算法的C語言描述如下：

BF算法的實現在Netfilter的負載函數匹配中，利用其中的函數int string_match_offset（）。本算法對常見的P2P協議例如BT、Gnutella、eMule可用。

2.2流量控制模塊

對于識別出來的P2P流量，按照用戶設置或者系統默認的帶寬進行限制。用戶可設置帶寬的大小，可指定限制固定IP的流量。流量控制模塊基于Linux內核的Netfilter模塊擴展的，例如限制固定IP流量的功能是在Netfilter的limit模塊中實現。在流量控制的過程中，使用TC模塊來實現功能。TC處理是在數據包輸出隊列上，結合Netfilter中的處理流程如圖3所示。

圖3　Netfilter流量處理流程

TC流量控制的步驟有三個，建立隊列、建立分類和建立過濾器。TC將流經網絡接口的數據放入隊列中，然后通過過濾器把數據包放在不同的分類中，最后再通過控制每個分類隊列數據包發送的速率限制每個分類的帶寬。其流程如圖4所示。

圖4　TC流量控制流程

具體來講本系統使用的是HTB（Hierarchical Token Bucket）來控制流量，對于已經識別出來的P2P流量，由iptable加上Mark值，作出標記，當這些帶上標記值的P2P數據包經過TC中的過濾器時，過濾器進行匹配，匹配后的數據包根據不同優先級分別放入不同的子分類隊列中等待帶發送。最后TC根據不同的隊列策略將數據發送到網卡，從而達到流量控制的功能。

2.3Web配置模塊

Web配置模塊主要功能是讓用戶根據個人的需要調整流量限制的一些策略。在系統默認情況下，系統將帶寬大小限制在2M。如果用戶想根據特定的限制要求進行固定IP帶寬的限制，只需進行簡單的幾個配置。用戶通過Web界面填寫配置策略或選擇默認設置，訪問到Web服務器，通過socket接口和流量控制系統的Linux服務器相連。在Linux系統服務器上配置或采取默認設置的流量控制模式，進而進行流量控制。

3　結語

本系統綜合了端口、P2P流連接特性和協議特征串識別等流量識別方法對P2P流量進行識別，其中端口識別的方法主要是過濾一些非P2P流量，連接特性識別方法設置了比較高的閾值，減少識別過程中的錯誤，最后通過協議特征識別剩下的流量，并利用Netfilter框架對識別后的流量進行限制。流量連接特性識別的過程由于需要統計一定數量的數據包特征，所以識別過程會有一段時間延遲。

［1］P2P流量識別方法介紹.http://wenku.baidu.com/link？url=R-D4z5b3o01V9LWo7K199pDXnc8Xuls5HQXKvL8UP0j5_ebtTMEtd8eF-slj30IhOF3G8csoHJvQXF-fxHM6Wlv2hb8tgEZeIXhYXJZaODBxm

［2］Linux內核官方文檔.https://www.kernel.org/

［3］楊剛，陳蜀宇.Linux中基于Netfilter/Iptables的防火墻研究.計算機工程與設計［J］.北京，2007

［4］樂艷輝，李之棠，柳斌.基于Netfilter的P2P流量測量系統.計算機應用研究［J］.成都，2008

［5］劉強.P2P流量監控技術研究與實現［D］.北京：北京郵電大學，2007

［6］P2P Communication Across Middleboxes［R］.http://www.ppcn.net/n1475c38.aspx

［7］王韜.基于Linux路由器的P2P流量識別控制系統的設計與實現［D］.蘇州，蘇州大學，2010

Flow Recognition；Flow Control；Netfilter；P2P

Implementation of P2P Traffic Control System Based on Netfilter

YANG Xuan
（College of Computer Science，Sichuan University，Chengdu 610095）

1007-1423（2015）08-0077-04

10.3969/j.issn.1007-1423.2015.08.019

楊軒（1987-），男，四川達州人，碩士研究生，研究方向為網絡安全

2015-02-10

2015-03-04

針對P2P流量在互聯網的整個流量所占有的比例很高的情況，為了更加合理地利用互聯網流量資源，提出一種基于Netfilter的P2P流量控制系統的設計和實現。綜合端口識別，P2P應用連接特性識別和特征協議串識別，利用Netfilter擴展功能實現系統的識別過程，并利用TC對流量進行限制。

流量識別；流量控制；Netfilter；P2P

In view of this situation that P2P flow has a high share of the whole Internet flow,to rational use of the Internet resources,designs and realizes a P2P flow control system.Makes an integration of port identification,P2P application connect feature identification and protocol string recognition identification,and uses Netfilter extensions to realize the recognition process,then uses TC to control the flow.