|
“Peer-to-Peer”(P2P)是指在網(wǎng)絡(luò)上起相同作用的對等用戶之間進(jìn)行相互通信的技術(shù)�。雖然從技術(shù)角度看�,早在30年前就已經(jīng)有了所謂的P2P網(wǎng)絡(luò)結(jié)構(gòu),但是直到近年來��,P2P技術(shù)作為一種全新的網(wǎng)絡(luò)應(yīng)用�����,由于其能快速便捷地提供信息的共享與交換�����、計(jì)算資源(如CPU資源)和存儲(chǔ)資源的共享和使用���,才得到了飛速的發(fā)展��。
隨著P2P技術(shù)應(yīng)用的不斷擴(kuò)展�����,特別是基于P2P系統(tǒng)的文件共享業(yè)務(wù)不斷壯大,P2P系統(tǒng)本身潛在的安全問題和對資源�,特別是網(wǎng)絡(luò)帶寬資源的濫用,已經(jīng)受到各個(gè)網(wǎng)絡(luò)運(yùn)營商和學(xué)校網(wǎng)絡(luò)管理者的高度重視��。據(jù)3Com公司技術(shù)白皮書稱,現(xiàn)在Internet上70%的流量都是P2P的流量���,主要為BitTorrent流量(約占50%)���、eDonkey和eMule的流量(約占20%)。在教育網(wǎng)內(nèi)部還有一種P2P的應(yīng)用非常廣泛��,就是Maze���。僅從清華大學(xué)校園網(wǎng)出口的流量監(jiān)控來看����,Maze的流量早已超過了Web等傳統(tǒng)的業(yè)務(wù)流量��,約占整個(gè)流量的15%��。
其次���,通過P2P資源共享獲得的軟件和其他資源���,由于缺少必要的安全機(jī)制而有可能成為攻擊者傳播蠕蟲、病毒和惡意代碼的工具�。為了順利通過類似防火墻等網(wǎng)絡(luò)安全設(shè)備�����,有些P2P應(yīng)用普遍采用隨機(jī)動(dòng)態(tài)連接的端口�,偽裝成正常業(yè)務(wù)端口如Web服務(wù)的80端口)或直接利用HTTP作為基礎(chǔ)通信協(xié)議���,這些都使某些P2P應(yīng)用得以躲過學(xué)校的安全審查而潛入學(xué)校內(nèi)部網(wǎng)絡(luò)���,給學(xué)校網(wǎng)絡(luò)安全防護(hù)打開了一扇后門。
再次��,由于P2P應(yīng)用的監(jiān)管存在技術(shù)和管理上的困難����,因而在教育網(wǎng)內(nèi)有些P2P用戶就利用此漏洞傳播黃色和反動(dòng)等信息,造成了非常不好的影響����。因此實(shí)現(xiàn)P2P流量的發(fā)現(xiàn)和監(jiān)測就成為學(xué)校和網(wǎng)絡(luò)管理單位亟需解決的問題。
但是�����,現(xiàn)今P2P流量的發(fā)現(xiàn)和監(jiān)測在技術(shù)上仍然缺乏非常有效的方法��,特別是對于那些沒有固定流量特征以及加密數(shù)據(jù)流的P2P應(yīng)用����。
P2P應(yīng)用系統(tǒng)按其網(wǎng)絡(luò)體系結(jié)構(gòu)大致可以分為三類。
第一類P2P系統(tǒng)是以Napster為代表的集中式系統(tǒng)�����,該系統(tǒng)采用集中式網(wǎng)絡(luò)架構(gòu)�,要求各對等端(Peer)都登錄到中心服務(wù)器上,通過中心服務(wù)器保存并維護(hù)所有對等端的共享文件目錄信息����。此類P2P系統(tǒng)通常有較為固定的TCP通信端口,并且由于有中心服務(wù)器�,只要監(jiān)管域內(nèi)訪問中心服務(wù)器的地址,其業(yè)務(wù)流量就比較容易得到監(jiān)測和控制�。Maze就是一種類似此類網(wǎng)絡(luò)架構(gòu)的P2P應(yīng)用系統(tǒng),采用固定的30601和30701作為其通信端口���。
第二類是純分布式的P2P系統(tǒng)�����,如早期的Gnutella實(shí)現(xiàn)了文件目錄的分布式管理����,由所有的對等端共同負(fù)責(zé)相互間的通信與搜索。此時(shí)網(wǎng)絡(luò)中所有節(jié)點(diǎn)都成為真正意義上的對等端����,無需中心服務(wù)器的參與。此類P2P系統(tǒng)普遍采用隨機(jī)動(dòng)態(tài)地連接端口��,偽裝端口���,或直接利用HTTP作為基礎(chǔ)通信協(xié)議�。但是由于純分布式的網(wǎng)絡(luò)架構(gòu)將網(wǎng)絡(luò)認(rèn)為是一個(gè)完全隨機(jī)圖�����,節(jié)點(diǎn)之間的鏈路沒有遵循某些預(yù)先定義的拓?fù)鋪順?gòu)建����,因而文件信息的查詢結(jié)果可能不完全,且查詢速度較慢��,采用廣播查詢的系統(tǒng)對網(wǎng)絡(luò)帶寬的消耗非常大�����,并由此帶來可擴(kuò)展性差等問題。此類P2P系統(tǒng)在教育網(wǎng)內(nèi)并沒有大規(guī)模的使用����;
第三類是現(xiàn)在應(yīng)用最為廣泛的混合式P2P系統(tǒng)����,該系統(tǒng)吸取了集中式和純分布式P2P系統(tǒng)的特點(diǎn),采用了混合式的架構(gòu)�。選擇性能較高(處理、存儲(chǔ)���、帶寬等方面性能)的節(jié)點(diǎn)作為超節(jié)點(diǎn)(SuperNodes)���,在各個(gè)超節(jié)點(diǎn)上存儲(chǔ)了系統(tǒng)中其他部分節(jié)點(diǎn)的信息,發(fā)現(xiàn)算法僅在超節(jié)點(diǎn)之間轉(zhuǎn)發(fā)���,超節(jié)點(diǎn)再將查詢請求轉(zhuǎn)發(fā)給適當(dāng)?shù)娜~子節(jié)點(diǎn)�����?����;旌鲜郊軜?gòu)是一個(gè)層次式結(jié)構(gòu)�,超節(jié)點(diǎn)之間構(gòu)成一個(gè)高速轉(zhuǎn)發(fā)層,超節(jié)點(diǎn)和所負(fù)責(zé)的普通節(jié)點(diǎn)構(gòu)成若干層次���。
Internet上最常用的幾個(gè)P2P應(yīng)用��,如BitTorrent��,eDonkey和eMule都屬于第三種類型��。對于此類P2P應(yīng)用的流量沒有固定的特征��,如使用固定的端口等����,一般常采用一種類似數(shù)據(jù)報(bào)深層掃描(DPI)的技術(shù),即利用高層協(xié)議的特征來標(biāo)識P2P數(shù)據(jù)流�����。據(jù)有關(guān)資料報(bào)道����,該技術(shù)可以識別Gnutella�����、eDonkey�、 DirectConnect����、BitTorrent�、Kazza等常見的5類P2P應(yīng)用,識別率達(dá)到95%����,但是該技術(shù)目前無法識別加密的P2P數(shù)據(jù)流。
意大利的一些學(xué)者也發(fā)表了采用協(xié)議分析的方法識別P2P數(shù)據(jù)流的文章����,并且給出了OpenNap、WPN����、FastTrack等常見P2P應(yīng)用的snort(一種常見的免費(fèi)的入侵檢測軟件)檢測規(guī)則。對于加密的數(shù)據(jù)流�,也試圖從數(shù)據(jù)報(bào)長度的分布上進(jìn)行一些嘗試。
但是上述的檢測技術(shù)都要求對數(shù)據(jù)包的內(nèi)容進(jìn)行分析�����,并且對檢測器的抓包效率提出了較高的要求,因而該項(xiàng)技術(shù)的使用將越來越受到帶寬日益變大的限制�。針對這個(gè)缺陷�,不少學(xué)者又提出了根據(jù)P2P數(shù)據(jù)流具有長時(shí)間固定連接的特點(diǎn),理論上可以做出基于流狀態(tài)統(tǒng)計(jì)的識別方法���,但是該方法在現(xiàn)今仍處于研究完善階段����。
綜上所述���,P2P流量的檢測和反檢測��,控制和反控制是一個(gè)不斷發(fā)展變化的過程����。治理好P2P應(yīng)用這個(gè)“雙刃劍”將是個(gè)任重而道遠(yuǎn)的任務(wù)�。
|
