校園網絡P2P流量管理研究

蔡琴

摘 要：文章指出，隨著P2P技術的發展，P2P應用通信流量巨大、無固定服務端口、檢測困難，會無限消耗大量網絡帶寬，單純的網絡擴容已無法解決網絡壓力問題。通過部署ANYVIEW流量監控對校園網絡P2P進行控制，用戶可以自定義策略使用更靈活的流量管理，即時發現異常的網絡流量，準確定位出異常流量的位置，監控非法內容，及時做出相應的應急反應，確保校園網絡正常運行。

關鍵詞：P2P;流量管理;流量監測;端口掃描

0 引言

隨著數字化校園網絡的建設，校園網絡支撐的業務越來越廣泛，規模也越來越大，視頻點播、迅雷、電驢下載、BT下載等多種技術手段日益豐富，這些新的應用業務對網絡的底層流量模型和上層應用模式產生很大的沖擊。這類網絡技術手段具有通訊流量巨大、種類繁多、無固定服務端口、特征變化迅速、檢測困難等特點，使用中經常出現網絡流量不暢、信息堵塞、鏈路連接緩慢，網絡病毒大量傳播等問題，影響校園網絡正常使用。為有效地管理校園網內P2P流量，對網絡流量實施監控，迫切需要安裝專門的流量監控軟件來提高網絡效用，合理規劃流量，調整網絡運行效果，有效控制病毒傳播[1]。

網絡流量監控系統對網絡內到達本地服務器的所有數據包進行分析，通過掌握監測流量，統計異常流量，收集網絡狀態和行為信息，分析網絡的性能指標，得到預警信息后確定攻擊源，迅速報警采取措施，保護服務器不被異常信息破壞，提高數據安全性。高效的網絡流量監控系統可實現對擁塞鏈路的監測，進行數據分析管理，查找影響網絡性能的異常因素。提高網絡運行速度，加強對全網安全管理的能力[2-3]。

1 傳統流量管理對P2P應用管理時存在困難

傳統的流量控制用于IP專用端口掃描分析，對HTTP協議產生的流量控制非常有效。但隨著P2P技術的發展，P2P協議的應用導致通訊流量巨大、無固定服務端口，傳統檢測就變得無效。BT下載和新的傳媒載體的應用也使得網絡流量急劇增長，影響其他正常應用的運行。P2P應用還可能會無限消耗可用帶寬，單純的網絡擴容無法解決網絡擁塞的本質問題，使網絡運營和維護成本大幅度增長[4]。

1.1 P2P應用會阻塞常用端口

IANA（互聯網號碼分配機構）為每個應用都規劃了專用的服務端口，通過檢測TCP或UDP實現網絡流量的分類，有些P2P應用為規避檢測，降低或者違反了服務條約，拒絕用戶的正常通信要求，導致P2P應用轉向使用隨機端口和專用端口，例如有的應用使用HTTP80端口躲避內容檢查。由于P2P流量無需通過安全驗證就直接發布，未經審核的非法信息都可以通過P2P快速傳播，容易引起法律層面及網絡安全方面的問題。節點間由于沒有效認證機制，給網絡匯聚層和核心層帶來壓力，易出現路由攻擊和分隔式攻擊，增加數據安全隱患[5]。

1.2? P2P應用使用NAT技術隱藏用戶IP

NAT穿越技術在P2P軟件中的廣泛應用，P2P流量具有很強的隱蔽性，它們通常繞開常用端口，使用隨機端口或是用戶自定義端口。同時變化特征碼，加深P2P流量的隱蔽性。P2P對等端可使用代理服務器的方法躲避檢測，導致P2P信息服務節點向隨機分布和隱藏的方向發展。P2P應用采用動態端口，傳統的端口識別技術已經無法識別網絡中的50%～70%的流量的應用類型。

1.3 阻塞對等端向P2P信息節點發出的通信

不再使用傳統的C/S（Client/Server）網絡架構，所有網絡節點關系是對等的，各節點同時具有接收、存儲、發送和集成的功能，以及元數據的搜索和被搜索等功能。也不再需要中央服務器，內容節點分布在靠近用戶的網絡P2P節點上，使業務實現從集中向分布的演化，各節點既是資源的提供者又是資源的獲取者。這個特征導致路由選擇極端復雜，容易在網絡中形成多個擁塞節點，阻塞對等端的業務通信，造成匯聚層和核心層網絡流量的巨大壓力。并且，如果內容節點感染了病毒，因為具有共享和通信機制，病毒會以更快的速度向相鄰節點擴散。

1.4 用戶的上行帶寬被限

P2P流量特性的分布有明顯的非均衡性，表現在上下行流量的非對稱性，也就是網絡中大部分節點的數據流量都是從為數較少的一些節點獲取，成為P2P網絡流量區別于其他流量的主要特征。大量的P2P網絡應用程序同時進行資源上傳時，會對于上行流量造成極大的擠占，造成外部用戶訪問內部網絡速度變慢。

2 部署ANYVIEW流量監控對校園網絡P2P流量控制

2.1? 分級限制用戶的上網流量

ANYVIEW可以充分考慮用戶的自定義策略，提供更靈活的流量管理。用ANYVIEW流量控制功能完成上網用戶的身份識別和類別識別后進行上網流量的限制，以抑制校園網中P2P流量。例如，先由網絡中心工作人員將校園網內的上網用戶身份進行分類，分成教師、行政辦公人員、學員。按工作時間分為工作時段和休息時段，然后運用差分算法算出流量均值作為各類用戶上網的流量閥值，設置參數，包括即時帶寬峰值、高峰上網時間段、會話并發最大數等，都可以運用差分算法算出流量均值。這項措施有效保障了校園網絡的流暢性，但也有正常用戶在使用較大流量的應用時，因網絡限制而無法完成。

2.2? 異常流量監測分析

ANYVIEW流量監測功能對網絡中的Flow信息進行分析，以數據包報文特征字檢測為主，發現定位網絡中的異常流量攻擊，通過抓包或行為分析等方式，實現異常流量自動檢測，并進行實時監控。P2P會產生大量連接數，如果采用網關模式設置并發連接數，可以起到限制流量的作用，但如果要徹底控制P2P應用，還需要使用ANYVIEW的監控協議對應用層的數據包檢測，分析特征串，找到P2P應用協議，識別流量中的載荷信息。檢測到實時數據，綁定MCA地址和IP地址，準確定位出異常流量的位置，做出相應的應急反應，減少平均故障響應時間，提高維護效率，確保校園網絡正常運行。

2.3 應用監控服務分析

ANYVIEW應用監控技術對綜合包分析，在復雜的寬帶網絡環境下，滿足寬帶IP網絡的整體監測要求。通過統一管理平臺流量分析系統，對重點群體、重點時段、重點部分的異常訪問進行分析和預警，并輸出用戶流量數據報表，提供設備的統一維護管理。通過網絡流量上行、下行速度進行限制，觀察分析報表封殺重點端口，有效控制P2P應用。由于網絡協議特征識別P2P流量主要是通過TCP包和UDP包，ANYVIEW可以針對指定的協議TCP/UDP和全系統列端口，設置過濾白名單和黑名單進行分級別管理。

2.4 內容監控服務分析

ANYVIEW應用內容監控服務主要針對互聯網低俗、反動、病毒等非法內容進行監測和控制，還可通過對POP/SMTP郵件的收發監視和WEBMAIL的發送監視，對郵件進行攔截和控制。尤其是一些聊天軟件采用的是動態端口，用傳統流量監控方式很難直接限制，需要用內網監控進程的方式進行。對不法的上網方法可以根據情況采用探測、收集、限制、阻斷、記錄，以管理整個上網資源，規范網絡有效合法使用，完成對網絡內容的監控。

2.5 策略服務功能

運用規則對IP地址、端口、行為特征各類數據進行設置，開展策略服務。對上網行為、聊天行為、流量帶寬、端口限制、自定義限制、ACL規則限制、郵件限制等設置各層優先級，來確保校園網絡中關鍵業務所需的網絡帶寬。還可針對重點的分組對象，對其訪問網絡過程進行記錄統計。通過對應用進行策略分析，準確掌握用戶上網行為，為進一步優化校園網絡提供理論依據。

3 控制P2P流量提高網絡運行能力優勢

3.1 提高網絡鏈路利用率

提高網絡鏈路利用率，盡可能保障校園網中的關鍵資源和關鍵業務的穩定運行。在不增加帶寬的前提下，滿足關鍵業務的帶寬需求，提升網絡鏈路訪問互聯網的質量和速度。在空閑時，帶寬可被其他優先級別不高的業務使用。對比服務器和內網使用情況智能分配帶寬，例如首先滿足校園網絡中教學、科研、辦公等資源業務，其次保障學員的日常使用等，這需要校園網管理人員掌握各應用的流量，根據上網數據流量的參數，合理配制網絡帶寬，做到負載均衡，提高網絡鏈路利用率。

3.2 控制網絡病毒

校園網絡有接口多、共享多、應用復雜、網絡病毒易濫等特點，由于P2P應用，校園網絡受病毒攻擊變得更具多樣性。網絡流量監控支持從多個角度監控網絡服務器流量情況，保障重要服務器帶寬，限制普通服務器帶寬，監控異常服務，快速定位攻擊服務器的攻擊源，并及時阻斷對服務器的網絡攻擊，提高服務器穩定性。

3.3 監控網絡資源

對那些與業務無關并會消耗大量帶寬的信息，進行精準控制，減少其對網絡資源的占用，提高辦公業務的速度。通過流量監控可以使網絡管理員迅速直觀了解網絡使用情況，精準管控網絡內人員的上網行為，并對有些行為進行分時限止，提高辦公工作效率。比如：不能在上班時間刷抖音、玩游戲，對人員上網行為進行安全審計，P2P下載限制，查看工作人員登陸的論壇、微信、QQ聊天記錄，防止網絡泄密等。

3.5 網絡優劃與規劃，提供決策支持

實時了解骨干鏈路上P2P流量所占的比例可以幫助網絡運營商科學合理的擴容帶寬，通過數據量化為帶寬擴容提供決策支持。精細化網絡管理，分析用戶的上網習慣和行為，實現差異化管理控制。對網絡上的數據流量進行有效預處理，將數據流區分成P2P流量和非P2P流量，對數據挖掘和數據分析有重要意義。要提高網絡管理人員的全面的分析和決策能力，為網絡管理、優化與規劃提供科學的依據。

4 結語

對校園網絡來說，P2P流量中很大一部分都屬于BT下載、視頻、搜狗、迅雷、電驢等應用，這些應用數據龐大，給整個網絡帶寬帶來很大壓力，使得網絡效能不高且易阻塞。使用ANYVIEW對校園網流量進行管理，可對非法P2P流量進行動態分析，為整個校園進行策略服務，進行帶寬限制，使用戶的P2P下載速度下降，病毒減少，非法內容得到監控。盡管有些流量較大業務被限止，但保證了校園網整體運行質量，對流量較大業務也可進行專線服務，或是分時保障。開啟ANYVIEW流量限制功能，可對整個校園進行監控服務，保證了整體業務功能，實現了智能化控制整個網絡，提高了教師和辦公使用網絡的效率，全面推動校園網絡的可持續發展。

[參考文獻]

[1]張宇翔，張宏科.一種層次結構化P2P網絡中的負載均衡方法[J].計算機學報，2010（9）：1580-1590.

[2]李鑫，劉東林.基于統計特征的P2P流量檢測方法[J].計算機工程，2010（5）：114-117.

[3]魯剛，張宏莉，葉麟.P2P流量識別 [J].軟件學報，2011（6）：1281-1298.

[4]陶福貴，康俊霞.高職校園網P2P流量管理研究[J].網絡安全技術與應用，2014（5）：217-218.

[5]田朔瑋，楊岳湘，何杰.基于統計特征的P2P流量實時識別方法[J].計算機工程與設計，2016（5）：281-285.

[6]穆箏，吳進，許書娟.高速網絡下P2P流量實時識別研究[J].理論研究，2015（5）：71-76.

（編輯 傅金睿）