關于P2P軟件對局域網的影響

摘要:由于局域網中存在大量使p2p軟件的行為，造成網速時快時慢。該文為此探討以BT為首的p2p軟件對局域網正常運行產生的不利影響和能否行之有效的管理。

關鍵詞:局域網;下載;p2p

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)21-5957-02

在當今信息化的時代，人們越來越依賴網絡。說Internet、局域網，甚至手機通信的GPRS，生活中處處有著網絡的存在，可以說生活已經離不開網絡。這也促使了網絡的快速發展，許多新的網絡技術和應用軟件相繼出現。本文關注探討p2p是一種網絡新技術，依賴網絡中參與者的計算能力和帶寬，而不是把依賴都聚集在較少的幾臺服務器上。P2P還是英文Point to Point (點對點)的簡稱。它是下載術語，意思是在你自己下載的同時，自己的電腦還要繼續做主機上傳，這種下載方式，人越多速度越快。這種優勢在強化交流、文件傳播、分布計算等方面顯得尤為突出，這也使得P2P成為公認具有廣泛應用前途的未來“殺手級”應用。與優點相對應它對網絡存在可怕的破壞力?傳統FTP、HTTP等下載方式不同，傳統的網絡應用模式基本結構是“服務器--客戶端”的形式，資源提供者通過固定的網絡存儲器向外提供資源，而用戶則只通過客戶端能向服務器索取所需的資源。P2p采用的是一種類似傳銷的方式來達到共享，在下載的同時，也在為其他用戶提供上傳，所以不會隨著用戶數的增加而降低下載速度，使用非常方便，其特點簡單地說就是，下載的人越多，速度也越快，但是占用的網絡帶寬會越來越大。P2P技術是與傳統C/S模式完全不同的一種資源共享方式，它可以說突破了資源供應的“瓶頸”，以下載帶來的巨大流量使壓力轉移到了整個網絡為代價極大的提升了資源的利用率。 以BT為代表，P2P這種點對點的下載方式肯定會占用大量的網絡量帶寬，大量的P2P流量必然會造成網擁塞絡，造成網絡速率下降，造成局域網用戶的不便，最后還可能會導致整個網絡癱瘓。而且用戶長期使用該類軟件，對硬盤損傷比較大(在寫的同時還要讀)，還有對內存占用較多，影響整機速度也會對自己的電腦造成損害。

1 問題分析

P2P下載以其獨特的優勢受到廣大用戶的喜愛。它在下載的同時還為其他用戶提供上傳，因此下載的人越多，它的速度越快。不過，麻煩也隨之而來，這些P2P軟件的濫用非常消耗組織有限的帶寬資源，甚至導致關鍵業務應用系統無法正常使用，嚴重影響其他用戶的正常工作。隨著P2P應用的大量出現，網絡流量模型出現了一些變化:P2P流量成為Internet的主要流量，占到總量的60%—80%，下載型業務和視頻類業務占大部分，妨礙了正常的網絡業務的開展，已成為殺手級的寬帶互聯網應用;由于P2P的對稱特點，導致網絡流量模型逐漸從不對稱模型向對稱模型遷移;P2P為了保證傳輸質量，需要創建大量的連接，而這些連接并不真正傳輸數據，浪費了網絡資源。要大都數人擁有穩定，快速，安全的網絡環境的，是應該嚴格限制用戶的p2p下載流量或完全禁止p2p下載的。但是P2P技術的快速發展，如今的P2P軟件能夠利用動態端口、HTTP搭載P2P數據、″UDP打洞”等技術，很難被防火墻、路由器以及其他的過濾設備發現。

2 解決方案

只有從網絡中有效的識別出P2P的數據流量，才能夠對其進行流量控制、流量管理等工作，也是當前迫在眉睫的工作，但是要禁止以BT為代表的P2P軟件進行下載，識別清楚是前提條件，p2p流量識別常用技術有以下幾種:

第一步:封鎖端口

封鎖端口技術常用于防范黑客入侵、蠕蟲病毒等方面，也適用于禁止辦公網絡使用QQ、MSN等軟件，應用在p2p上就是找出對應的端口并加以限制。P2P常用的端口范圍是:6000～6890，而我們要做的就是在路由器中對這一段的端口進行限制。筆者在學校核心路由器銳捷7606上使用以下命令將6000-6890端口全部封鎖配置過程如下:

筆者先建立訪問控制列表協議101

access-list 101 deny tcp any any range 6000 6890

access-list 101 deny tcp any range 6000 6890 any

access-list 101 permit ip any any

隨后進入連接外網的端口， 添加協議使訪問控制列表協議101在這個端口生效

ip access-group 101 out。

優缺點:

優:訪問控制列表ACL封鎖P2P軟件容易實現，容易增加和修改，易于掌握和管理，使用也相對而言比較靈活.通過ACL可以非常有效封鎖常用P2P軟件的下載。

缺:目前的很多第三方的P2P軟件(如比特精靈，BITCOMET)可以自定義傳輸數據的端口，封無可封，大范圍地封鎖端口會給其他正常的網絡應用帶來嚴重的影響，仍然是治標不治本。

第二步:封鎖P2P資源服務器

與封鎖本地端口類似，封鎖P2P資源的服務器也是通過路由器進行的封鎖行為，上文提到現在在本地端口上進行的封鎖已經無法有效防范最新的P2P流量下載了。所以我們反過來從遠程目標的地址入手。P2P軟件進行下載一般要先連接服務器端的資源服務器并從上得到種子列表再連接相應的種子然后才能進行下載資源。我們要做的就是直接封鎖P2P用戶下載這些種子列表，但是各種P2P軟件的種子多不勝數，要想從服務器上下載種子，并分析獲得服務器IP地址這種工作不是一個人或幾個人能夠完成的，筆者只能使用聚生網管系統查看網絡中存在的P2P軟件下載連接并導出IP地址列表，然后在核心服務器上對這些地址進行封鎖。配置過程如下:

筆者先建立訪問控制列表協議102

access-list 102 deny tcp any ***.***.***.*** 0.0.0.0

access-list 102 deny tcp any ***.***.***.*** 0.0.0.0

……

隨后進入連接內網的端口， 添加協議使訪問控制列表協議102在這個端口生效

ip access-group 102 in。

優缺點:

優點:能有效的封鎖大批常用的BT服務器，對自定義端口的BT類P2P軟件也能實現封鎖

缺點:種子服務器數量繁多，而且不可能收集齊全，要找到每個服務器的IP地址然后進行封鎖非常麻煩，新的BT服務器也會層出不窮，因此也是隔靴搔癢。而且訪問控制列表對封鎖域名無能為力，而現在的種子服務器IP經常變化，封鎖是比較煩的 ，而且許多種子的提供場所也是正常網站的一部分，因此封殺相關網站的效果有限而且副作用明顯。

第三步 流量模式識別法控制

這種方法分為兩個步驟，首先會對單個用戶或單個用戶分組進行綜合閥值分析，當發現單點或用戶組的流量和會話超出預設定的范圍后，變會將其中的可疑數據包進行分析，如IP數據包首部的服務類型、協議、源地址、目的地址以及數據報的數據部分，根據P2P數據包的特征來判斷該數據包是否屬于P2P數據，根據判斷的結果來進一步采取措施，封堵、控制流量或是放行。思科路由器硬件實現了這一種功能，該路由器記錄經過它的每條流的信息，而P2P應用的流量特征有別與其它應用，因此可以實現基于流的流量識別和控制功能。表1描述了幾種不同的常見ip服務應用對應的流量特征。

由表中我們可以看出p2p應用持續時間長、平均速率較高以及總的傳輸字節數高，可以被分辨并加以封鎖，這種方法也是目前公認對P2P管理最有效的方式，聚生網管系統用軟件實出了這一方法，從而使得封堵p2p軟件較其他網管軟件有明顯的優勢。

優缺點:

優:流量模式識別法控制能有效識別p2p流量并加以封鎖，無須進行端口封鎖或服務器IP地址封鎖，而且很難被突破

缺:由于需要記錄每條流的信息，這種方法對內存空間以及處理速度都提出了比較大的要求，可能會影響到路由器的穩定，同時影響到網絡的穩定性。

3 小結

基于P2P原理的下載應用，如BT、電驢等，對網絡帶寬的消耗極大，長期以來都是網絡管理人員的惡夢。由于p2p下載客戶端對工作方式的不斷改進，常規的管理手段諸如端口限制、服務器封鎖等效果不顯，使通常的網絡管理措施無能為力，網絡資源度被極濫用的狀況難以從根本上得到改變。 筆者使用流量模式識別法控制，校園網的質量有明顯的提升，美中不足的是以上幾步都有明顯的缺點且較難克服，筆者嘗試在校園網上實現上網認證系統綁定上網行為管理軟件的下載和更新來進行管理(即強制桌面客戶端PC上面就禁止用戶安裝運行P2P軟件客戶端程序)或許會有更好的效果。

參考文獻:

[1] 百度知道.什么是BT [DB/OL].http://baike.baidu.com/view/822.html?wtp=tt，2010.

[2] 鄒俊強.校園網絡安全防御系統的設計與實現[J].廣東科技，2005，(1):62-63.

[3] 劉騰龍.如何使校園網更加安全[J].甘肅科技，2006(12):249-250.

[4] 潘家富.BT大量下載對圖書館局域網的影響和應對措施[J].圖書館學研究，2006(5):27-28.

注:本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文