（Department of Computer Science and Technology动漫，Huazhong University of Science and Technology，Wuhan Hubei 430074， China）Abstract：Based on the urgent requirements to control P2P communication， this paper gives the design and implementation of a DPI-based P2P traffic control system. This paper first describes some technologies to identify P2P communication and analyses the P2P integrated control model. Then recombination the actual situation， a DPI-based traffic control model and its simple implementation is present. Finally we carry on the performance analysis and appraisal to this model. The experiments prove its efficiency to control P2P traffic.

Keywords：P2P；DPI；Traffic identification；Traffic control

1  序文P2P（Peer-to-Peer）以其独到的本事上风在近几年内速即发展，清楚馅了多数的应用软件，如BitTorrent、eDonkey、FastTrack、Skype、Kugoo（酷狗）、ezPeer（易载）、迅雷、QQ等。P2P是一种用于文献交换的新本事，它允许终局用户利用Internet架构一个动态、匿名、分散式汇聚相互传递信息，颠覆了传统的C/S信息管事格式，允许终局用户相互平直搜索和分享信息资源。据统计，P2P业务已占据了互联网业务总量的60%~80%，成为汇聚带宽最大的消费者。P2P业务束缚加多，形成了汇聚资源的浩荡蹧跶，以致引起汇聚拥塞，对其它过去汇聚业务，如Web、FTP、Email等的性能形成极大的影响；对企业用户来说，P2P业务不仅会形成IT资源的浩荡蹧跶，况兼可能为企业安全堤防大开一扇后门，使得病毒和坏心代码得以躲过安全审查长远企业里面汇聚。因此，杀青分类、标识和抑止P2P流量越来越成为企业、汇聚运营商急需照应的问题。

2  P2P流量抑止系统的结构2．1 要道本事

要抑止P2P通讯，就必须对P2P通讯进行有用的识别。但是，许多P2P左券不使用固定的端口，而是动态地使用端口，包括使用一些知名管事的端口。比如，KaZaA就不错使用端口80来通讯，从而穿透传统的基于IP和端口的防火墙和包过滤器。是以，传统的基于IP和端口的分类本事（分析IP包头、IP地址、端标语等）很难识别、追踪或抑止这类通讯。

当今有几种可用于抑止P2P通讯的顺次。这几种顺次在抑止P2P通讯上都有一定的服从，但都有裂缝。底下对这几种顺次作粗浅的描写：

       （1）传统的封杀IP和端口。关于BT，不错封杀一些比拟活跃的BT论坛和tracker管事器的IP；封杀整个端口，只洞开一些必须的端口。这种顺次不错在一定进程上阻断某些P2P通讯，但如上所述，这种顺次存在好多裂缝。

       （2）URL过滤。如，关于BT，不错扼制推广名为.torrent的文献的下载。这种顺次显然也有很大的局限性，因为torrent文献王人备不错通过别的形势(如ftp)取得，也不错换一个推广名[1]。

       （3）基于流量特征的检测本事[2]。P2P应用看成一种充分利用客户端资源的新式应用，它在传输层发达出来的流量特征相关于其它应用，如HTTP、FTP、DNS等，有许多不同的场地。基于流量特征的检测本事等于通过检测这些新的流量特征来发现P2P应用。

其优点有：①由于P2P应器具有普遍适用的流量特征，新的P2P应用也合适这一特征，是以这种本事有发现新的P2P应用的材干；②有检测加密P2P应用的材干。

其流毒有：①由于传输层流量特征一般不行明确开导应用层左券类型，是以这种顺次对P2P应用分类的材干较弱，而应用分类关于QoS的实施短长常紧迫的；②由于不合称路由和丢包、重传风景的存在，导致无法精准详情流量特征，从而有可能P2P流量检测的精准度形成影响；③好多流量特征都不是P2P流量独一的，其它应用也有可能发达出这种流量特征，需要蚁合其它一些本事如端口检测来摒除其它应用。

（4）深度包检测本事（DPI：Deep Packet Inspection）。深层数据包检测本事通过对数据包应用层左券的检测发现P2P应用。这种本事使用一个payload特征库存储payload特征信息，合适payload特征的数据包即视为P2P数据包。关于BT，要是IP包的数据区包含BT左券的特征串“BitTorrent protocol”，那么就扼制该数据包通过，这么，BT平等勾通的捏手无法成立，下载也无法不竭。这种检测顺次易于扶植、升级便捷、顾惜粗浅，是当今期骗最普遍的顺次。

其流毒是：①对新P2P应用的检测具有滞后性，即在未升级特征库前无法检测新的P2P应用，必须找到新应用的payload特征后才能对该应用实施有用检测；②对加密P2P应用的检测材干绝顶有限；③算法性能与payload特征的复杂度关联，payload特征越复杂，则检测代价越高，算法性能越差。

       此外，Subhabrata Sen等东谈主于2004岁首提倡基于应用签名的P2P流量检测顺次，试验上是深度数据包检测顺次的一种，该顺次在性能和精度上都取得了令东谈主幽静的服从[3]。James Won - Ki Hong等东谈主于2003年提倡一种基于传输层特征的P2P流量检测顺次，但莫得给出性能参数[4]。国内王逸欣、王锐等东谈主提倡了一种把深度包检测本事和基于流量特征的检测本事相蚁合的本事[5]。

2．2 总体设想

2．2．1 P2P流量轮廓抑止模子

       由于P2P应用左券类型、杀青机理的万般性，为了绝对监管和抑止P2P流，需选择轮廓性照应决策。文献[6] 提倡了一种流量轮廓抑止模子.   该模子主要由三大功能模块构成，包括P2P识别模块、照应模块以及扩充模块，每个模块又包含多少部件。

识别模块：主要正经P2P流量识别功能，诀别从不同的角度识别P2P流量，包括：报头识别、流现象识别、数字签名识别、DPI识别。该模块接受来自照应模块的政策信息，不错取舍和调度识别技能。

       照应模块：主要正经与汇聚照应者的交互。照应模块应当提供细腻的东谈主机交互界面，以匡助汇聚照应者更好地了解和照应汇聚资源；同期，把柄照应政策调度相应的P2P流量识别形势以及P2P流量抑止形势。

国产视频

扩充模块：正经P2P流量抑止政策的扩充，同期正经采集流量使用信息，缓存该信息并上报到照应模块。

       该轮廓模子给出了P2P流量抑止系统的合座架构，张筱雨大胆人体艺术但杀青起来过于复杂。因此，文献[6] 又蚁合企业级P2P流量抑止需乞降运营商级P2P流量抑止需求，对该轮廓模子作念了必要的修改，提倡了两套简化的模子。相似，咱们也把柄试验情况，对该模子作念了修改，提倡了一套可用于中小企业的简化模子。

2．2．2 简化模子的设想条目

       咱们对简化模子提倡了以下主要设想条目：

       （1）P2P通讯的识别是一个绝顶耗时的进程，有必要在无需此功能的时候关闭该模块。因此，咱们用开关形势杀青了P2P通讯处理模块。

       （2）P2P通讯的识别是一个绝顶复杂的进程，绝顶是对一些未公开的P2P左券更是如斯。因此咱们不条目识别率达到100%，只需达到一个允许的限制即可，咱们的设想缱绻是达到95%以上。

       （3）不错按照时辰段来成就封禁和流量抑止两种处理形势。比如不错成就在使命时辰封禁P2P通讯，在非使命时辰对P2P通讯进行流量抑止。

       （4）对其它非P2P通讯的影响尽量小。咱们的设想条目是尽量减少对过去通讯隐隐量的影响。

 

 

2．2．3 简化模子

       底下对简化模子作念一个粗浅描写。该系统是咱们防火墙系统的一个子系统，因此其中有部分与防火墙关联的模块。

       该模子主要由三大功能模块构成，包括防火墙模块、照应模块和P2P通讯处理模块，每个模块又由多少部件构成。

       防火墙模块：该模块是通盘咱们防火墙系统的主体模块，主要正经报头处理、勾通追踪处理等。主要包括两个模块：

＊     规定匹配模块：主要正经防火墙规定的匹配，并对匹配的报文按规定进行处理。可进行IP地址匹配、端口匹配、时辰匹配等。

＊     勾通追踪模块：当报文匹配规定后成立勾通追踪信息，该勾通追踪信息可供背面的P2P通讯处理模块使用。

       照应模块：与轮廓模子中的照应模块功能近似，主要正经与汇聚照应者的交互，去掉了计费模块。

       P2P通讯处理模块：主要正经识别P2P通讯，再把柄识别收场对P2P通讯扩充相应的抑止政策。主要包括三个模块：

＊     勾通追踪查验模块：主要正经查找报文在勾通追踪表中是否有对应的勾通追踪信息，然后再把柄P2P识别模块识别的收场对勾通追踪相应的域进行成就。经上述处理后，当后续报文到达时，就无需再次进行DPI识别，只需按照勾通追踪进行处理即可。按这种顺次，不错极地面培植P2P通讯处理的服从。

＊     识别模块：与轮廓模子中的识别模块功能近似，但只进行DPI识别。

＊     扩充模块：与轮廓模子中的扩充模块功能近似，但不包括内容缓存器。

 

3 性能测试       按照上述简化模子，咱们给出了一个可用于中小企业的杀青。该杀青基于Linux 2.4.18内核，基本上杀青了上述设想缱绻，不错对BT和eMule进行抑止。底下咱们对该系统进行了测试，测试环境如下：

Linux 2.4.18-3 内核；BitComet 0.71；

       CPU Celeron 1GHz；内存128M；100M以太网接口；NuStreams-600测试仪。

（1）BT封禁测试

       在bt.5qzone.net同期下载五个种子数超越100的文献，P2P抑止政策取舍封禁。考试解说，咱们的P2P流控系统不错阻断P2P客户端得到种子后对管事器的勾通，同期也不错阻断P2P客户端之间的相互勾通，使得P2P通讯流量经久为0。

（2）BT流量整形测试

       与（1）近似，仅仅P2P抑止政策取舍流量整形。每5s对下载速度采样一次，共采样100次。测试收场如表1：

表1  BT速度测试

限定速度（KB/s）

 低于限定速度采样数

 高于限定速度采样数

 高于限定速度采样数/100 

       从上述测试收场不错看出，咱们的流量整形器如故不错有用的抑止P2P流量的，但识别模块的识别率还未达到100%，存在无法识别的情况。

（2）非P2P通讯在关闭和开启P2P流控系统时隐隐率测试

       不错看出，在开启P2P流控系统后系统的隐隐率略有裁汰，这也标明了咱们的P2P流控系统对通盘系统性能的影响如故比拟小的。

4 收场语P2P流量抑止是一个束缚发展的进程，传统的基于IP地址和端口的顺次已不再有用。为了有用地抑止P2P流量，束缚有东谈主提倡各式顺次。这些顺次针对P2P通讯不同方面的特质来进行抑止，都有一定的服从，但都存在好多不及。当今，DPI本事是抑止P2P流量比拟主流的本事，本文也恰是采用此本事。跟着P2P本事的束缚发展，笃信不久的翌日，一定会出现更好的抑止本事。

参考文献[1]柳斌，李之棠．基于探望抑止列表的 BitTorrent流量抑止政策．计较机应用与软件 2006第5期

[2]Thomas Karagiannis，“Transport layer identification of p2p traffic”，Internet Measurement Conference (IMC)，Taormina，Sicily，Italy，October 25-27，2004

[3]Subhabrata Sen，Oliver Spatscheck，Dongmei Wang，“Accurate，Scalable In-Network Identification of P2P Traffic Using Application Signatures”，International World Wide Web Conference 2004

[4]Se-Hee Han，James Won-Ki Hong，“The Architecture of NG-MON：A Passive Network Monitoring System for High-Speed IP Networks”，Lecture Notes In Computer Science；Vol. 2506，2002

[5]王逸欣，王锐等．P2P流量检测本事初探．计较机与数字工程 2006第6期

[6]李江涛，姜永玲．P2P流量识别与照应本事．电信科学 2005第3期

总之，扼制P2P流量，限定P2P流量，监控P2P流量，过滤P2P流量，抑止P2P流量，屏蔽P2P流量，阻断P2P流量，阻拦P2P流量，封堵P2P流量，禁用P2P流量，禁P2P流量，限P2P流量，封P2P流量，禁P2P流量，限P2P流量，封P2P流量，P2P流量端口，P2P流量左券，P2P流量管事器IP，奈何抑止P2P流量，奈何P2P流量，奈何限定P2P流量，奈何封堵P2P流量，奈何监控P2P流量，奈何局域网汇聚照应P2P流量等等这些功能，聚生局域网抑止软件不错杀青！

联系相接：动漫