p2p技术:P2P应用识别和控制技术白皮书

　　1.1 背景

　　P2P是peer-to-peer缩写peer在英语里有"(地位、能力等)同等者"、"同事"和"伙伴"等意义这样来P2P也就可以理解为"伙伴对伙伴"意思或称为对等联网目前人们认为其在加强网络上人交流、文件交换、分布计算等方面大有前途

　　P2P还是po to po 点对点下载意思它是下载术语意思是在你自己下载同时自己电脑还要继续做主机上传这种下载方式人越多速度越快但缺点是对你硬盘损伤比较大(在写同时还要读)还有就是对你内存占用较多影响整机速度!

　　



　　德国互联网调研机构ipoque称P2P已经彻底统治了当今互联网其中50-90%总流量都来自P2P在P2P里BitTorrent已经超过eDonkey(含eMule)占了P2P流量50~70%而后者根据地区区别份额为5~50%不过在某些地方eDonkey仍是P2P首选

　　P2P(Peer-to-Peer)技术自出现以来便得到了快速普及和发展尤其是应用最为广泛P2P文件共享技术由于P2P软件Software不断地进行更新新P2P软件Software也在不断涌现并且P2P用户所共享文件大多是最新或者最流行越来越多人被吸引到P2P阵营当中P2P流量在整个网络流量中比重和日俱增据统计仅在短短几年时间内P2P流量已经占据了固定网络中6O 以上带宽对WebEmail等其他网络服务构成了严重威胁于是如何识别P2P流量以及对其进行控制渐渐成为了人们比较关心问题

　　基于P2P技术开发软件Software具有如下几个典型特征:

　　1、软件Software类型非常繁多且采用通信协议不规范标准不标准;

　　2、每个主机既是服务器也是客户端没有明显中央控制单元流量具有网状连接特征很难识别;

　　3、网络逃避运营商等对P2P业务控制普遍采用加密传输、频繁更新协议特征等技术导致识别控制困难

　　1.2 传统P2P应用识别和控制思路方法

　　到目前为止传统P2P应用识别和控制思路方法主要有如下 4类:

　　第类技术:利用端口进行P2P流量识别即对各种P2P软件Software相应流量进行研究并归纳出常用个或多个固定端口(如KuGoo软件Software通用商业端口是7000)然后在流量检测过程中旦发现有流量端日和已归纳出端口相同就可以确定该流量属于P2P流量并属于某种P2P软件Software引但是对于利用端口识别P2P流量现在大多数P2P软件Software都不再使用固定端口或使用动态端口或在软件Software中设有端口设置功能供用户自行设置端口甚至有P2P软件Software使用8O等其它业务固定端口号以欺骗流量检测设备

　　第 2类技术:用关键字进行P2P流量识别也是在研究各种P2P软件Software相应流量基础上实现这时对流量研究目不再是归纳特征端口而是归纳出流量所有数据包中都含有或者出现频率最高特征串即关键字般关键字出现位置也是有严格要求然后在流量检测过程中对数据包进行深度检测如果关键字匹配成功就可以确定该流量属于P2P流量及其所属软件Software类别但是随着P2P技术不断发展上述思路方法已出现了明显弊端对于利用关键字识别P2P流量关键串部分或全部字节可能随软件Software运行环境、版本等改变而改变

　　第 3类技术:就是利用大于1024TCP/UDP端口数进行P2P识别技术但是该思路方法无法将P2P业务和端口扫描、DdoS攻击等类型流量区分开来

　　第 4类技术:利用IP地址连接通信对端IP地址数量进行P2P识别技术但是该思路方法无法区分个IP地址是否属于个为众多用户提供服务器设备还是个用户在大量发起P2P连接

　　因此综上所述传统P2P应用识别技术已经不能应对P2P技术本身发展和变化了

　　1.3 BMC P2P应用识别和控制技术概述

　　BMC专利技术——<种基于数学建模技术应用于P2P网络流量识别和控制思路方法>,通过对P2P技术特征分析得出典型P2P流量模型通过模型特征值提取能够非常高效便捷对它们进行识别

　　BMCP2P专利识别技术提供种基于数学建模技术应用于P2P网络流量识别和控制思路方法具体来说:就是对网络中每个IP地址通信会话进行数学建模采集该IP地址活动会话所连接对端IP地址分布、TCP/UDP端口分布和会话状态信息利用数学建模技术产生数学模型特征值;将数学模型特征值和预设P2P流量数学模型参数进行匹配;在和P2P流量数学模型参数匹配情况下判定该IP地址当前正在使用P2P技术进行数据传输;根据预先配置P2P流量控制策略对该IP地址所有符合P2P特征流量进行控制

　　上述预设P2P流量数学模型参数包括最小IP地址扩散度Cip、最小TCP/UDP端口扩散度Mport、最大会话接通率Cratemax和最小会话接通率Cratemin上述 4个参数被配置到数学模型库中

　　本技术优于传统P2P识别技术的处在于:

　　1、本技术不依赖于对报文内容进行关键字或者特征码识别因此本技术能够对加密P2P和未知新出现P2P流量进行识别;

　　2、本技术不是仅仅依靠对高于1024TCP/UDP端口进行统计识别P2P它避免了把P2P流量和网络扫描、DdoS攻击等流量混淆起来因此更精确;

　　3、本技术不是仅仅依靠对IP地址所连接对端IP地址数量进行统计因此避免了把P2P流量和网站WebSite服务器流量混淆

　　下图为某客户部署BMC硬件流控产品TMA(采用上述专利技术识别P2P应用)后对P2P实际控制效果图:

　　

延伸阅读

• 2008-12-17-- p2p技术:P2P技术和信息安全
• 2008-12-17-- p2p编程:JXTA P2P编程技术例程(3)
• 2008-12-17-- p2p搜索技术:有关基于P2P技术的P2P搜索的 4个研究
• 2008-12-17-- p2p技术:P2P技术对网络和业务的影响分析
• 2008-12-17-- p2p编程:JXTA P2P编程技术例程(2)
• 2008-12-17-- p2p技术:P2P技术介绍和发展历史
• 2008-12-17-- p2p编程:JXTA P2P编程技术例程(4)
• 2008-12-17-- p2p编程:JXTA P2P编程技术例程(1)