网络分析管理案例、解决方案-P2P检测与过滤器、告警应用.docx

P2P检测与过滤器、告警应用当下P2P技术已经成为互联网上一个相当流行的技术，无论是在下载，还是在流媒体应用上，到处都可以看到P2P技术的影子。那么究竟什么是P2P，而它又能为客户带来如何的便利呢？P2P是英文Peer-to-Peer（对等）的简称，又被称为“点对点”。“对等”技术，是一种网络新技术，依赖网络中参与者的计算能力和带宽，而不是把依赖都聚集在较少的几台服务器上。著名的应用例如BT，著名的工具如电驴、迅雷等下载工具，就是用的P2P技术。每个参与者在下载的同时，也要负责上传内容，当下载的人越多的时候，速度也越快。这项技术不光应用在下载上，在流媒体上也有着相当广泛的应用。例如pplive、ppstream、cciptv等。凡是都有两面性，当用户享受着P2P技术带来的便利的同时，必然也会付出一定的代价。首先，P2P行为会占用大量的带宽，导致整个网络的运行速度变慢，影响到网络的正常应用。其次，P2P的安全问题。1、P2P软件本身的漏洞。例如使用电驴的用户，电驴有时候会对WEB页错误地处理畸形请求。WEB一般发送的请求就是POST数据与GET数据，攻击者可以基于这个原理发送一个畸形请求，从而造成电驴的崩溃，最后成功控制电驴主机。2、个人隐私泄密。P2P软件保存下载的文件夹总是会被共享出来，用户放在其中的信息都会被自动共享出来。并且网络管理机构与P2P软件开发商会对P2P软件开放的端口扫描，以获取相关信息。3、来自木马、病毒的威胁。当用户用P2P软件下载了包含了木马、病毒的图片、电影等，用户的电脑就会被种上木马。 在企业网络管理当中，对P2P行为的管理也是比较严格的，毕竟P2P行为会影响到企业网络的应用，对工作造成重大的影响。要对P2P进行管理，首先得明确哪些是P2P行为。那么如何分辨出哪些是P2P行为呢？当我们用科来软件对有P2P应用的网络进行了分析之后，我们发现P2P行为有以下特点：（1） 同时和多点进行通信（2） 传输端口不稳定，甚至采用UDP端口（3） 在接收流量的同时，大量发送流量（4） 能够充分利用网络带宽资源。接下来，就让我们用科来网络分析软件来实际分析一下P2P行为。打开PPS，利用科来进行一段时间的抓包，我们获得如下所示的图表。在图表中可以看到，在大约16:40:29的时候出现了流量的突发。利用率明显上升，这符合了第四点：充分利用带宽资源。然后我们看到概要。平均包长有些偏小，在大小包分布中，小包占据过多，而且远程IP地址数有135个，明显不正常。并且TCP会话数小于UDP会话数，这也是不正常的。想到P2P的行为，就可以知道，其实在P2P开始连接的时候，会尝试大量用TCP小包与其他主机取得联系，这样就解释了为什么会有那么多的小包，而且远程IP地址数会出现那么多这就符合了第一点：同时和多点进行通信。当连接开始时，主机有时会采用UDP的方式来进行传输。然后我们深入解析，在流量突发的时候，连接会话与数据包说了一些什么。可以看到在TCP会话中有大量与:80的和与:80的会话，并且在主机上采用端口都是50000+的随机端口，这就符合了第二点：传输端口稳定，甚至采用UDP端口。点到数据流选项卡，我们可以看到主机的域名，并且连接是出于什么样的状态（CLOSE，KEEPALIVE等）关于UDP端口：可以看到，在UDP会话中，主机也是采用大量的随机端口与别的主机通信，比如这一条，主机采用57309端口与113.31.30.138:17788通信，并且在数据中，我们可以发现主机正在进行P2P行为的详细内容。在下载了一段时间以后，流量趋于平稳，这时候我们就可以看到P2P行为的第三个特征，在接收流量的同时，还发送大量的流量。在企业中，网管不可能无时不刻地盯着流量的变化，所以科来提供了过滤和告警的功能方便网管来进行管理。对于P2P行为，我们该如何设置过滤和告警呢？关于过滤，我们可以基于端口来进行过滤，通常P2P行为动用的端口都是TCP和UDP的动态端口，我们需要设置到1024以后的端口来进行过滤，科来还提供了bittorrent协议的过滤，大大方便了针对这类BT下载的管理。关于警报，我们可以基于利用率来进行设置。一般情况下，网络的利用率总是在0-30之间，P2P行为会充分利用网络带宽资源，带来的结果就是利用率大大上升，所以我们可以设置到30以上，并且持续10秒，解除的时候为30以下，持续5秒，这样也可以免除一定的误报信息。另外在P2P行为中，会有大量的大包出现来进行数据的传输，我们也可以根据大包的数量来进行相应的告警设置。类似这样的特征，可以留给读者自行思考设置。P2P技术方便了广大网民的同时，也会为网民的安全，企业网络的流畅带来一定威胁，希望大家都能合理利用这项技术，在方便自己的同时，也考虑一下他人。