您好,欢迎访问三七文档
当前位置:首页 > 临时分类 > 解决方案-P2P检测与过滤器应用
P2P检测与过滤器、告警应用当下P2P技术已经成为互联网上一个相当流行的技术,无论是在下载,还是在流媒体应用上,到处都可以看到P2P技术的影子。那么究竟什么是P2P,而它又能为客户带来如何的便利呢?P2P是英文Peer-to-Peer(对等)的简称,又被称为“点对点”。“对等”技术,是一种网络新技术,依赖网络中参与者的计算能力和带宽,而不是把依赖都聚集在较少的几台服务器上。著名的应用例如BT,著名的工具如电驴、迅雷等下载工具,就是用的P2P技术。每个参与者在下载的同时,也要负责上传内容,当下载的人越多的时候,速度也越快。这项技术不光应用在下载上,在流媒体上也有着相当广泛的应用。例如pplive、ppstream、cciptv等。凡是都有两面性,当用户享受着P2P技术带来的便利的同时,必然也会付出一定的代价。首先,P2P行为会占用大量的带宽,导致整个网络的运行速度变慢,影响到网络的正常应用。其次,P2P的安全问题。1、P2P软件本身的漏洞。例如使用电驴的用户,电驴有时候会对WEB页错误地处理畸形请求。WEB一般发送的请求就是POST数据与GET数据,攻击者可以基于这个原理发送一个畸形请求,从而造成电驴的崩溃,最后成功控制电驴主机。2、个人隐私泄密。P2P软件保存下载的文件夹总是会被共享出来,用户放在其中的信息都会被自动共享出来。并且网络管理机构与P2P软件开发商会对P2P软件开放的端口扫描,以获取相关信息。3、来自木马、病毒的威胁。当用户用P2P软件下载了包含了木马、病毒的图片、电影等,用户的电脑就会被种上木马。在企业网络管理当中,对P2P行为的管理也是比较严格的,毕竟P2P行为会影响到企业网络的应用,对工作造成重大的影响。要对P2P进行管理,首先得明确哪些是P2P行为。那么如何分辨出哪些是P2P行为呢?当我们用科来软件对有P2P应用的网络进行了分析之后,我们发现P2P行为有以下特点:(1)同时和多点进行通信(2)传输端口不稳定,甚至采用UDP端口(3)在接收流量的同时,大量发送流量(4)能够充分利用网络带宽资源。接下来,就让我们用科来网络分析软件来实际分析一下P2P行为。打开PPS,利用科来进行一段时间的抓包,我们获得如下所示的图表。在图表中可以看到,在大约16:40:29的时候出现了流量的突发。利用率明显上升,这符合了第四点:充分利用带宽资源。然后我们看到概要。平均包长有些偏小,在大小包分布中,小包占据过多,而且远程IP地址数有135个,明显不正常。并且TCP会话数小于UDP会话数,这也是不正常的。想到P2P的行为,就可以知道,其实在P2P开始连接的时候,会尝试大量用TCP小包与其他主机取得联系,这样就解释了为什么会有那么多的小包,而且远程IP地址数会出现那么多这就符合了第一点:同时和多点进行通信。当连接开始时,主机有时会采用UDP的方式来进行传输。然后我们深入解析,在流量突发的时候,连接会话与数据包说了一些什么。可以看到在TCP会话中有大量与stat.ppstream.com:80的和与upload.ppstream.com:80的会话,并且在主机上采用端口都是50000+的随机端口,这就符合了第二点:传输端口稳定,甚至采用UDP端口。点到数据流选项卡,我们可以看到主机的域名,并且连接是出于什么样的状态(CLOSE,KEEPALIVE等)关于UDP端口:可以看到,在UDP会话中,主机也是采用大量的随机端口与别的主机通信,比如这一条,主机采用57309端口与113.31.30.138:17788通信,并且在数据中,我们可以发现主机正在进行P2P行为的详细内容。在下载了一段时间以后,流量趋于平稳,这时候我们就可以看到P2P行为的第三个特征,在接收流量的同时,还发送大量的流量。在企业中,网管不可能无时不刻地盯着流量的变化,所以科来提供了过滤和告警的功能方便网管来进行管理。对于P2P行为,我们该如何设置过滤和告警呢?关于过滤,我们可以基于端口来进行过滤,通常P2P行为动用的端口都是TCP和UDP的动态端口,我们需要设置到1024以后的端口来进行过滤,科来还提供了bittorrent协议的过滤,大大方便了针对这类BT下载的管理。关于警报,我们可以基于利用率来进行设置。一般情况下,网络的利用率总是在0-30之间,P2P行为会充分利用网络带宽资源,带来的结果就是利用率大大上升,所以我们可以设置到30以上,并且持续10秒,解除的时候为30以下,持续5秒,这样也可以免除一定的误报信息。另外在P2P行为中,会有大量的大包出现来进行数据的传输,我们也可以根据大包的数量来进行相应的告警设置。类似这样的特征,可以留给读者自行思考设置。P2P技术方便了广大网民的同时,也会为网民的安全,企业网络的流畅带来一定威胁,希望大家都能合理利用这项技术,在方便自己的同时,也考虑一下他人。
本文标题:解决方案-P2P检测与过滤器应用
链接地址:https://www.777doc.com/doc-3319313 .html