如何在局域網中封堵Ｐ２Ｐ應用軟件

摘要：介紹什么是P2P以及在局域網中的危害，如何封堵P2P。

關鍵詞：P2P

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)09-11638-02

How to Block P2P in LAN Network

WANG Tao

(Library in Mufu of Jinling Institute of Technology， Nanjing 210038， China)

Abstract: What is P2P and it break Lan， and how to block P2P.

Key words: P2P

1 什么是P2P

P2P是peer-to-peer的縮寫，peer在英語里有“（地位、能力等）同等者”、“同事”和“伙伴”等意義。這樣一來，P2P也就可以理解為“伙伴對伙伴”的意思，或稱為對等聯網。簡單的說，P2P直接將人們聯系起來，讓人們通過互聯網直接交互。P2P使得網絡上的溝通變得容易、更直接共享和交互，真正地消除中間商。P2P就是人可以直接連接到其他用戶的計算機、交換文件，而不是像過去那樣連接到服務器去瀏覽與下載。P2P另一個重要特點是改變互聯網現在的以大網站為中心的狀態、重返“非中心化”，并把權力交還給用戶。 P2P看起來似乎很新，但是正如B2C、B2B是將現實世界中很平常的東西移植到互聯網上一樣，P2P并不是什么新東西。在現實生活中我們每天都按照P2P模式面對面地或者通過電話交流和溝通。

2 P2P在局域網中的危害

2.1 對硬盤的損害

P2P三大指控：高溫、重復讀寫、扇區斷塊。

BT下載由于每個用戶的下載和上傳幾乎是同時進行，因此下載的速度非常快。不過，開發BT的人因為缺乏對維護硬盤的考慮，使用了很差的HASH算法，它會將下載的數據直接寫進硬盤（不像FlashGet等下載工具可以調整緩存，到指定的數據量后才寫入硬盤），因此造成硬盤損害，提早結束硬盤的壽命。此外，BT下載事先要申請硬盤空間，在下載較大的文件的時候，一般會有2－3分鐘時間整個系統優先權全部被申請空間的任務占用，其他任務反應極慢。有些人為了充分利用帶寬，還會同時進行幾個BT下載任務，此時就非常容易出現由于磁盤占用率過高而導致的死機故障。因為BT對硬盤的重復讀寫動作會產生高溫，令硬盤的溫度升高，直接影響硬盤的壽命。而當下載人數愈多，同一時間讀取你的硬盤的人亦愈多，硬盤大量進行重復讀寫的動作，加速消耗。基于對硬盤工作原理的分析可以知道，硬盤的磁頭壽命是有限的，頻繁的讀寫會加快磁頭臂及磁頭電機的磨損，頻繁的讀寫磁盤某個區域更會使該區溫度升高，將影響該區磁介質的穩定性還會導至讀寫錯誤，高溫還會使該區因熱膨漲而使磁頭和碟面更近了（正常情況下磁頭和碟面只有幾個微米，高溫膨脹會讓磁頭更靠近碟面），而且也會影響薄膜式磁頭的數據讀取靈敏度，會使晶體振蕩器的時鐘主頻發生改變，還會造成硬盤電路元件失靈。任務繁多也會導至硬盤過早損壞，由于硬盤自身的不足，過多任務請求是會使尋道失敗率上升導至磁頭頻繁復位（復位就是磁頭回復到 0磁道，以便重新尋道）加速磁頭臂及磁頭電機磨損。其次，同時因為下載太多東西，使扇區的編排混亂，讀寫數據時要在不同扇區中讀取，增加讀寫次數，加速硬盤消耗。

2.2 對網絡帶寬的損害

當前，以BT為代表的P2P下載軟件流量占用了寬帶接入的大量帶寬，據統計已經超過了50%。這對于以太網接入等共享帶寬的寬帶接入方式提出了很大的挑戰，大量的使接入層交換機的端口長期工作在線速狀態，嚴重影響了用戶使用正常的Web、E-mail以及視頻點播等業務，并可能造成重要數據無法及時傳輸而給企業帶來損失。因此，運營商、企業用戶以及教育等行業的用戶都有對這類流量進行限制的要求。BT將會占用太多的網絡資源，從而有可能在接入網、傳輸網、骨干網等不同層面形成瓶頸，造成資源緊張，這似乎也是目前運營商封掉BT端口的最大理由。

2.3 助長了病毒的傳播

2005年11月17日，公安部公共信息網絡安全監察處許劍卓處長在天津AVAR2005大會上做了《中國網絡犯罪現狀》的報告，報告指出，通過計算機病毒和木馬進行的黑客行為是計算機網絡犯罪的主要根源。調查情況表明，計算機病毒除了通過常規的電子郵件等途徑傳播外，目前網絡上盛行的P2P軟件成為計算機病毒和木馬傳播的主要途徑。這些病毒和木馬對互聯網的安全形成巨大的挑戰。

2.4 可能面臨著版權侵害的風險

Fred Lawrence是一個美國普通老人，今年67歲，因為自己孫子的緣故惹來了美國電影協會（MPAA）的大麻煩。Lawrence的孫子通過P2P服務在家中的電腦下載并分享了4部電影，美國電影協會通過IP地址找到了他和他的電腦，并以侵犯版權為由要求老人為此在18個月中付出4000美元的罰金；現在國內外都在嚴厲打擊盜版，不排除版權作者或機構通過各種網絡跟蹤技術來找到非法進行P2P下載的用戶，并提起訴訟或者其他賠償要求；如果企業員工進行了這些行為，可能由此對企業的形象造成極大負面影響，并可能使得企業遭受其他損失！此外，員工可能通過BT等下載一些色情、反動、暴力的等違法的信息，這些信息可能被公安機關檢測到，由此可能給員工和企業帶來法律風險。

3 封堵P2P應用軟件

方法一：使用聚生網管工具進行封堵

面對于P2P尚沒有專門的控制軟件誕生，一般只能通過防火墻或者代理服務器進行頻繁的規則設定來完成，這也給網絡管理人員帶來巨大的工作量。殊不知P2P終結者軟件，可幫助企業輕松解決這個日益嚴重的問題。小提示： 聚生網管，是國內目前首套專門針對網絡P2P濫用問題開發的系統軟件，該軟件可以實現對局域網所有主機的P2P下載進行控制，非常容易部署想要發出的限制方案，可保證企業網絡的有限帶寬能夠得到正當利用，不會被內部自私的人所濫用。將聚生網管下載到本地計算機，然后在雙擊里面的安裝程序，在所彈出的“安裝向導”界面里，單擊“下一步”按鈕，進入安裝“軟件位置”的安裝頁面，這里你需要根據企業網絡的具體情況，來決定此軟件具體安裝到機器的位置。例如大部分公司采用的路由器是共享上網，那么你就可以將該軟件安裝到網絡中的任意機器中，反之安裝到通過代理服務器上網的主機內即可。當你安裝完成后，第一次運行該軟件時，就會彈出“系統初始化設置”對話框，如果你是“路由器共享上網”的企業，那么就在“接入公網類型”欄目里，選擇跟自己對應的“路由器共享上網”選項。反之你是通過代理服務器上網，這里就請選擇對應的上網方式“代理服務器上網”選項，另外下面“網絡連接設備”欄目里的選項，可根據網絡架設的實際情況進行選擇，而后單擊“完成設置”按鈕，即可自動運行“P2P終結者”軟件。稍等片刻后，會彈出“P2P終結者軟件”的操作界面，這里在其左側選擇“軟件配置”標簽，此時編輯區默認選擇的是“網卡設置”標簽，在其下方“請選擇監測所使用的網卡”標簽里，選擇自己的物理網卡。如果你是雙網卡，則選擇“內網的網卡”選項后，單擊“保存配置”按鈕，即可將其監測網卡配置完畢。接下來為了使軟件檢測到內網里的所有主機，請選擇“網絡控制臺”標簽，單擊里面“啟動網絡控制服務”按鈕，此時軟件會自動掃描網絡里的主機，并且將其所檢測到的信息，會顯示到網絡主機的掃描欄內。當顯示主機信息完畢后，大家就可以對網絡帶寬進行限制了，這里選擇“網絡帶寬管理”標簽，并且分別勾選上“啟用主機公網帶寬限制”和“啟用發現P2P下載時自動限制該主機帶寬功能”的兩個復選框，根據里面所給標簽提示，選擇想要限制的速度值，單擊“保存配置”按鈕，這樣就可以執行自己設置限制網絡帶寬，以及限制使用P2P下載用戶的帶寬值。

另外，如果你想對企業員工，在其他方面進行網絡限制如：下載、瀏覽網站、網絡聊天，只要在其軟件的ACL規則中，根據設置的IP地址范圍和協議端口，即可進行除P2P下載的其他訪問限制。

方法二：利用屏蔽端口來封堵P2P下載

眾所周知，網絡通訊都是依靠端口傳輸來完成相互間的傳遞，那么這就意味著P2P下載也會擁有自己相應的通訊端口，來完成從網絡下載文件的操作。如果企業能夠依靠天網防火墻軟件，將其下載通訊的端口屏蔽掉，相信內部人員的P2P下載，也就會隨之關閉掉了，從而即可解決P2P濫用的嚴重問題。下面就以天網防火墻為例，使用其他防火墻的朋友，你也可以“按部就班”的進行模仿操作，雖然方法可能有些大同小異，但是產生結果都是一致的，而且都能封堵住內網用戶使用P2P下載。這里打開“天網防火墻”軟件，在其上方單擊“IP規則管理”按鈕，然后選擇編輯區里的“增加規則”選項，在彈出的“增加IP規則”對話框內，將你想要封殺的程序，填入到相應的文本框內。例如你想要封殺BT下載程序，就在其名稱標簽處填入“封殺BT”的四個字，然后在將其“數據包方向”列表里的接收，更改為“發送”選項。接下來把“數據包協議類型”列表里的內容，選擇為“TCP選項”標簽，并且在“對方端口”欄目內，輸入從6881到6889的數字，其他設置保持默認即可，單擊“確定”按鈕。在順原路返回到“增加規則”對話框，再用同種的方法，創建UDP協議的攔截規則，只要改動“數據包協議”里的類型為UDP，其他跟剛才創建的協議規則一致，這樣當企業用戶再次采用BT協議進行P2P下載文件，就會被其設定的規則直接封殺掉。這里不排除你想封殺P2P協議，只要建立與其上面所類似的規則，并且輸入該協議在下載時，所需要用到的通訊端口，即可對其P2P協議進行封殺。

方法三：用ISA封殺P2P下載

如果說你的企業員工對以上兩種方法，都有很好的應對措施，那么ISA的封殺，想必就會使他們沒有了對策。因為ISA是根據下載的特性進行封殺，它可以采用最為專業的封殺軟件，能夠從多個角度對P2P的下載進行封殺，從而使其下載功能徹底失去了自身的作用。針對目前最為專業的ISA封殺軟件Microsoft Internet Security and Acceleration Server，以下簡稱ISA。你如果要想限制下載的種子文件，可以添加一條HTTP規則，并且將其種子擴展名加入到“阻止制定的擴展名”即可。當然此方法用戶只需要瀏覽網頁發布的P2P下載資源，就可輕松破解。那么這里你就需要再增加一條，禁止用戶打開P2P下載的網站規則，這樣才能將其想要依靠網頁發布P2P下載的用戶封殺掉。但是倘若企業用戶不依靠種子和網頁發布的P2P下載資源，來進行P2P下載文件，想必上面兩種限制也就失去了它本質的作用，因此這就需要你根據數據包的特性進行協議過濾，方能徹底限制住關于P2P的下載操作。這里需設置訪問策略，并且對其HTTP協議進行簽名過濾，比如還拿剛才BT下載為例，查找數據包的請求，在指定阻止的簽名中填入BT使用的數據包請求，這樣當數據包中含有你想要阻止的數據請求，就會自動被ISA所丟棄，導致用戶的P2P下載也就無法進行。

4 結束語

正是因為P2P在局域網中的四種危害，我們才要封堵P2P應用軟件，確保用戶的正當合法的需求和體驗。

參考文獻：

[1] 呂學偉．P2P技術的概況及研究[J]．福建電腦，2005，(10)．

[2] 邱碧云．全球首宗BT侵權案引發的思考[J]．中山大學學報論叢，2006，(7)．

[3] 陳祥章，陳穎．P2P網絡模型的研究與分析[J]． 福建電腦，2005，(12)．