企事业单位局域网有效控制P2P软件的方法作者：陈腾 2009-9-14当前，随着网络技术的发展和宽带的普及，企事业单位信息化、电子政务的开展和日益深入，各项业务逐步通过网络来实现；企事业单位在享受着网络带来的效率提升和各项便捷的同时，也遭遇了互联网诸多负面应用的干扰，使得网络资源无法得以充分利用，业务发展受到很大掣肘，突出表现就是当前日渐流行的各种P2P软件（P2P下载软件和P2P视频软件）。

一、P2P软件的危害 相对于传统的Internet应用而言，P2P软件产生的流量具有以下明显特征： 1、传输速度惊人。

P2P软件由于其技术原理决定了其可以无节制地占用局域网的带宽资源，使得无论企事业单位的带宽有多大，只要局域网一台电脑使用了P2P软件都可以将整个局域网的网速拖慢，严重干扰了企业的业务系统和办公系统的正常运行，甚至使得打开网页、收发电子邮件都难以进行。

2、传输内容具有危害性。

局域网用户使用P2P软件下载大量的影音资料，可能是一些反动、色情、暴力等不良信息，一方面违反了国家法律法规，另一方面这些内容还常常带有病毒、恶意程序等等，容易给整个局域网带来巨大的危害。

3、传输过程的穿透性。

P2P软件可以穿透当前各种防火墙和各种安全代理屏障，从内部打开了一个单位内部局域网安全防护的漏洞，使得黑客可以轻松通过此通道进入企业内部局域网，传播病毒和窃取单位的商业机密等。

4、传输过程对硬件的负荷较大。

P2P软件不仅可以加大使用者电脑硬件信息的损耗，降低使用寿命。

同时，P2P软件由于上行和下行流量基本对称，而传统的网络设备如交换机、路由器、modem等是为非对称、尽量支持下行的传统的互联网应用而设计的，从而无法长时间承受P2P软件的使用，容易造成链路堵塞、设备崩溃的情况。

因此，如何有效控制这些P2P软件的使用，已经成为当前企事业单位网络管理的重要课题之一。

二、如何识别P2P软件的流量在企事业单位内部局域网中要想有效控制P2P软件，就必须先将其从网络数据中识别出来，因此识别P2P流量是封堵P2P软件的前提和基础。

目前，识别P2P主要有以下方法：1、基于P2P软件端口、服务器IP的识别控制方法早期的P2P软件种类较少，同时技术也较为简单，在传输上基于固定端口和少量的服务器IP地址来实现，因此网络管理人员只要找到这些P2P软件采用的传输端口和服务器IP地址，借助防火墙、交换机或者路由器等网络设备关闭这些端口和IP的访问即可。

同时，寻找这些P2P软件的端口、服务器IP的方法也较为简单，通过防火墙、路由器等网络设备的拦截、过滤日志或者使用诸如Sinffer一类的嗅探软件，通过抓包分析的方式均可以获取。

2、基于应用层签名的识别控制方法基于检测应用层签名的P2P流量识别技术是通过协议分析与还原技术，提取P2P应用层数据(即P2P载荷)，通过分析P2P载荷所包含的协议特征码，来判断是否属于P2P应用。

因此，这类方法也叫做深度数据包检测技术（DPI，即Deep Packet Inspection）。

因为这些P2P软件的应用层签名一般不会发生变化，具有较长时间的稳定性，同时应用层签名也具有唯一性，所以这种封堵方式针对那些可智能切换端口、以及P2P软件服务器IP地址庞大，无法通过IP封堵的P2P软件，不失为一种更有效、更便捷的控制方法，并且一般均可以实现完全的控制。

但是，随着近几年P2P技术的不断发展，越来越多的P2P软件对传输过程进行了加密，依靠传统的嗅探方法和嗅探工具已经无法获取其应用层签名或协议特征码，从而无法实现对那些传输过程加密的P2P软件的封堵。

同时，由于P2P软件的应用层签名或协议特征码与传统的Internet应用的应用层签名的类似性，从而也具有误封传统Internet应用之嫌；并且，基于深度数据包检测的技术由于需要对所有公网的数据包进行过滤、分析和识别，在较大规模的网络环境中，对系统所依附的硬件设备性能要求较高，同时也不可避免地对网络性能造成一定的影响；此外，如果P2P软件的应用层签名发生变化，则必须更新之前的P2P应用层签名才能继续保持对P2P软件的识别和控制，所以也面临着应用层签名必须实时更新的问题。

3、基于深度流量特征（DFI）的P2P流量识别控制方法基于深度流量特征（DFI，即Deep Flow Inspection）也是当前识别P2P流量的另外一种典型的方法。

DFI是为了弥补DPI识别P2P流量过程中面临的效率问题、P2P流量加密和P2P应用层签名必须频繁升级而出现的识别方法。

这一识别方法的基本思想是：通过对传输层数据包(包括TCP和UDP数据包)进行分析，并结合P2P系统所表现出来的流量特征，来识别某个网络流是否属于P2P流量。

这一识别方法不对网络流量做深度数据包检测，而是对数据包的端口、会话数、协议对、网络直径、流速率等进行分析，通过网管系统根据上述特征预设一定的阀值（也即特征出现的数量、频率、大小等等），当上述这些数据包特征超过系统预设的阀值时，则视其为P2P流量，并开始进行阻断，以此来达到限制P2P流量的目的。

与深度数据包检测技术相比，基于深度流量特征的P2P识别技术可以负荷更大规模的网络环境的P2P检测任务，同时也大幅度降低了对网络性能的影响，同时也实现了对加密P2P流量的识别和控制。

只不过这种封堵方式，由于是对数据包特征的流量阀值来实施控制，所以如果P2P下载速度较慢，没有超过系统预设的阀值的情况下，将会放过一些P2P流量，不能达到完全禁止P2P流量传输的目的。

不过，目前国内主流的上网行为管理软件厂商，如深信服、等产品，一般允许网络管理员根据自己单位的封堵要求而设定相应的控制阀值，以此来增加或降低封堵P2P软件的敏感度，所以基本可以有效控制P2P流量的传输。

结语目前国内P2P软件种类繁多、技术架构良莠不齐，所以在实际封堵P2P软件的时候我们必须因地制宜采取相应的控制方法。

例如，对于那些技术架构较为简单、采用固定端口和服务器固定IP地址的P2P软件，我们可以采用基于端口和服务器IP控制的方法，在防火墙、路由器、交换机上即可实现封堵，同时这种方法操作也较为简单、对网络性能的影响也较小，也可以使得企事业单位现有的网络设备得以更充分的利用。

国内目前流行的酷狗音乐、UUSEE、PPlive、PPfilm等一些P2P软件（此外国内流行的很多股票软件，如大智慧、同花顺等，以及一些网络游戏等）均可以采用这种方法实现封堵，只不过需要网管人员善用防火墙、Sniffer等常规的网管工具即可；而对于那些采用可变端口、服务器IP地址众多，无法通过端口、IP来封堵的P2P软件，但可以通过嗅探工具和嗅探软件获取其应用层签名的P2P软件，就可以考虑采用基于应用层签名的方式加以封堵，如当前国内流行的QQlive、kamun卡盟、Vagaa哇嘎、Baidu下吧、百宝、网酷、脱兔等等P2P软件，可以采用这种方法封堵。

同时国内也有一些高端的网络设备，如思科、华为的一些防火墙支持自行添加应用层签名来实现对P2P软件的控制，也可以采购一些成熟的网管系统，一般也预设了主流的P2P软件的应用层签名；而对于那些不仅采用可变端口、服务器IP地址众多，同时在P2P传输过程中进行加密的P2P软件，我们只能依靠基于深度流量特征的方式来加以封堵，例如国内目前流行的迅雷、QQ旋风（超级旋风）、网际快车等P2P软件，通过在一些网管系统上设定合适的控制阀值，我们可以限制这些P2P软件的传输速度，从而有效缓解带宽不足、网络堵塞的状态。

此外，一些特定的P2P软件，还需要我们综合利用上述三种封堵方法，才能达到较佳的封堵效果，网管人员需要举一反三、灵活应对。

综上所述，在局域网中有效控制P2P软件的使用，要求网管人员必须有一定网络知识，熟悉常规网络工具的使用，并且较好配备一套成熟的网管系统，才能真正实现对P2P软件的控制，并较终实现网络管理的目的。