馬娟

（山西財貿(mào)職業(yè)技術(shù)學(xué)院，太原 030031）

基于Linux的校園網(wǎng)中P2P流量識別及控制

馬娟

（山西財貿(mào)職業(yè)技術(shù)學(xué)院，太原 030031）

在互聯(lián)網(wǎng)領(lǐng)域中，分布性的P2P（peer to peer）模式成為了當(dāng)今網(wǎng)絡(luò)不可忽視的重要組成部分。所以，準(zhǔn)確地識別P2P流量對于保證QoS（Quality of Service）、流量控制、校園網(wǎng)計費(fèi)管理有著比較重大的意義。通過比較過去的幾種技術(shù)，文章研究了P2P流量的識別技術(shù)，提出了新的識別方法，并在Linux的防火墻Net filter框架下實現(xiàn)有效地控制校園網(wǎng)中P2P流量。

校園網(wǎng)；流量識別；Linux

P2P網(wǎng)絡(luò)是一種在IP網(wǎng)絡(luò)之上的應(yīng)用層分布式網(wǎng)絡(luò)，每個對等節(jié)點(diǎn)平等地、自由地分享它們擁有的資源。這種技術(shù)給人們帶來了很大的便利，但同時也占用了大量的帶寬，尤其在一些院校中，P2P流量占據(jù)了總流量的80%以上，致使校園網(wǎng)絡(luò)非常擁擠，影響很多同學(xué)的正常使用。因此，對P2P流量的識別和控制成為校園網(wǎng)中必須解決的問題。

一、P2P流量的識別算法分析

早些時候，P2P流量識別主要采用的是端口識別技術(shù)，可實現(xiàn)對網(wǎng)絡(luò)中P2P流量的識別和控制。這種識別方式簡單易行，并且識別出來的流量容易控制，但端口識別方式已經(jīng)不再適合于現(xiàn)在的網(wǎng)絡(luò)流量識別。緊接著是基于節(jié)點(diǎn)行為或流量特征的識別技術(shù)，深度包檢測（DPI）識別技術(shù)。[1]國外的研究還發(fā)現(xiàn)了流量分布具有重尾特征，還有部分研究提出了基于網(wǎng)絡(luò)流量特征的識別。[2-3]同時，很多研究提出了利用數(shù)據(jù)挖掘技術(shù)，把多特征作為流量識別，也有的研究采用了基于機(jī)器學(xué)習(xí)的檢測方法。

目前，比較成熟的技術(shù)是基于應(yīng)用層明文特征的識別方法，該方法廣泛地應(yīng)用于各個網(wǎng)絡(luò)設(shè)備上的識別系統(tǒng)中，能夠準(zhǔn)確識別P2P流量。[4]該方法主導(dǎo)因素就是特征字符串匹配算法，本文借鑒了以往算法的原理，并提出一種新的算法，以提高字符串匹配的效率，縮短匹配時間。

二、QoS服務(wù)模型與Linux防火墻模型

以往的IP傳輸服務(wù)稱為“盡力而為”型服務(wù)，這種類型的服務(wù)傳輸流不需要QoS（Quality of Service）控制，對延時和可靠性等性能不提供任何保證，哪個數(shù)據(jù)報先到就為哪個數(shù)據(jù)報服務(wù)，但這種服務(wù)已經(jīng)不能滿足當(dāng)今各種網(wǎng)絡(luò)應(yīng)用的需求。目前主要有綜合服務(wù)模型、區(qū)分服務(wù)模型和多協(xié)議標(biāo)記交換模型，這些QoS技術(shù)用來保證網(wǎng)絡(luò)各種業(yè)務(wù)流的性能得到滿足的需要。

Linux操作系統(tǒng)屬于自由軟件，獲取途徑簡單，并具有成本低、系統(tǒng)穩(wěn)定等優(yōu)點(diǎn)，廣泛用于防火墻、路由器、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT以及VPN等各種網(wǎng)絡(luò)應(yīng)用。[5]Linux防火墻技術(shù)發(fā)展了三代，第三代是基于Linux 2.4內(nèi)核的iptables。iptables通過防火墻規(guī)則列表來提供防火墻規(guī)則控制，這些列表稱為防火墻鏈。iptables共有三條鏈：INPUT（輸入鏈）、OUTPUT（輸出鏈）和FORWARD（轉(zhuǎn)發(fā)鏈），當(dāng)輸入、輸出和轉(zhuǎn)發(fā)的包匹配這些規(guī)則時被執(zhí)行。Netfilter是Linux內(nèi)核中火墻框架，允許用接口將數(shù)據(jù)包處理代碼以模塊的形式添加到內(nèi)核中。它由一系列基于協(xié)議棧的鉤子函數(shù)組成，通過內(nèi)核模塊對協(xié)議鉤子的注冊掛載，從而能夠?qū)崿F(xiàn)對數(shù)據(jù)包的檢測、修改、過濾等功能。

三、算法的選擇

以往算法都是將字符串進(jìn)行逐一的比較，然后判斷是否匹配，因而效率上比較低，新算法則是應(yīng)用到hash函數(shù)，然后把關(guān)鍵字都轉(zhuǎn)換為數(shù)值，再進(jìn)行比較。同時，將單位時間內(nèi)匹配率較高的字符串設(shè)置單獨(dú)的高匹配表，優(yōu)先查找。這樣可以在多個P2P端進(jìn)行大量訪問時進(jìn)一步降低匹配時間。同時，依據(jù)P2P數(shù)據(jù)流量大，節(jié)點(diǎn)間數(shù)的數(shù)據(jù)交換非常頻繁，具有不分段性和持續(xù)性，訪問往往是突發(fā)的，持續(xù)時間比較短，都集中于訪問某幾個關(guān)鍵字，所以在新算法中進(jìn)行了統(tǒng)計，設(shè)置了高重復(fù)率表，并進(jìn)行優(yōu)先匹配。

算法實現(xiàn)如下：（1）將結(jié)果和首先和高重復(fù)率表表中進(jìn)行對比，如果匹配，則進(jìn)行第5步；（2）對關(guān)鍵字進(jìn)行哈希運(yùn)算；（3）將關(guān)鍵字進(jìn)行哈希運(yùn)算，存入表中，并設(shè)立計數(shù)表，初始化對應(yīng)的高重復(fù)率表；（4）否則，進(jìn)行哈希運(yùn)算，在哈希表中進(jìn)行查找，如果查找到，則進(jìn)行第5步，否則進(jìn)行到第6步；（5）進(jìn)行則進(jìn)行流量控制，并將該關(guān)鍵字進(jìn)行計數(shù)，寫入哈希表；（6）返回第1步。

通過算法的實現(xiàn)是作為linux的內(nèi)核模塊，通過調(diào)用NF_HOOK函數(shù)執(zhí)行Netfilter鉤子函數(shù)，而流量的控制需要借助于iptables與Traffic Control。

四、流量控制框架實現(xiàn)

Linux內(nèi)核網(wǎng)絡(luò)協(xié)議棧對流量控制的支持模塊稱為Traffic Control，簡稱TC。數(shù)據(jù)包在IP協(xié)議層首先由輸入多路分配器模塊檢查，如果該數(shù)據(jù)包目的地是本地，則將該數(shù)據(jù)包送往上層協(xié)議進(jìn)行處理，否則將該數(shù)據(jù)包送forward轉(zhuǎn)發(fā)模塊處理；Forward模塊也可能接受由本地產(chǎn)生經(jīng)傳輸層傳入的數(shù)據(jù)包，負(fù)責(zé)查詢路由表并決定該數(shù)據(jù)包的下一個目的地，最后送入output輸出隊列模塊進(jìn)行相關(guān)分類，并決定是否丟棄、延遲或立即發(fā)生該數(shù)據(jù)包，該模塊是Linux流量控制處理的重點(diǎn)范圍。

在算法具體實現(xiàn)時，首先是利用內(nèi)核模塊編程進(jìn)行識別。同時，在iptables中，有個L7-filter，它是iptables的增強(qiáng)型插件，使用正則表達(dá)式進(jìn)行匹配應(yīng)用層協(xié)議并進(jìn)行分類，可以對常規(guī)的P2P網(wǎng)絡(luò)流量進(jìn)行識別及標(biāo)識。然后進(jìn)一步利用iptables，標(biāo)識出P2P流量，再利用Traffic Control中的HTB隊列對各種流量分配以不同的帶寬和優(yōu)先級。從而實現(xiàn)流量的控制，進(jìn)行帶寬管理，確保網(wǎng)絡(luò)中最基本的和關(guān)鍵的應(yīng)用業(yè)務(wù)的服務(wù)質(zhì)量。

在實驗中，改進(jìn)后的算法能有效的進(jìn)行流量的控制，使得在P2P流量高峰時期，能保證正常的HTTP、E-MAIL、SSH等關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量，抑制P2P等非關(guān)鍵業(yè)務(wù)的流量，具有較高的實用價值。

[1]黃立輝.P2P流量識別系統(tǒng)的設(shè)計與研究[D].碩士學(xué)位論文，武漢：華中科技大學(xué)圖書館，2011.

[2]王平，方濱興，云曉春.基于自動特征提取的大規(guī)模網(wǎng)絡(luò)蠕蟲檢測[J].通信學(xué)報，2006（7）：87-93.

[3]張文，沈磊.基于特征進(jìn)程的P2P流量識別[J].網(wǎng)絡(luò)與通信，2008（15）：120-122.

[4]王圣凱.基于明文特征的P2P協(xié)議識別系統(tǒng)的研究與設(shè)計[D].蘇州大學(xué)，2011.

[5]郭忠義.分布式并行防火墻系統(tǒng)研究與設(shè)計[M].成都：電

子科技大學(xué)出版社，2004.

（編輯：章萍 徐永生）

P2P Flow Identification and Control of Linux-based Campus Network

MA Juan
（Shanxi Finance and Trade Vocational and Technical College,Taiyuan 030031,China）

In the Internet field,the distributive P2P(peer to peer)mode has become an important part of today's network.Statistics show that P2P flow accounts for 60%to 85%of the total campus network flow.Sharp increase of P2P flow has led to irrational distribution of network bandwidth and huge loss.Therefore,it is of great significance to accurately identify P2P flow so as to guarantee quality of service,flow control and campus network accounting management.This paper studies the technology of P2P flow identification and puts forward a new identification method based on comparing several techniques in the past,which can be used to achieve effective control of the campus network P2P flow in the Linux firewall Net filter framework.

campus network;flow identification;Linux

TP 393.18

A

1671-4806（2014）03-0111-02

2014-02-14

馬娟（1978—），女，山西永濟(jì)人，講師，碩士，研究方向為計算機(jī)網(wǎng)絡(luò)。