【正文】 K的塊，但是有很少的一些iMesh流使用2K(2048 字節(jié))的塊。Fasttrack流難以識別因為它的包格式和塊的大小都與HTTP流量比較相似[16]。Fasttrack的客戶端程序包括著名的Kazaa媒體桌面(KMD)，Grokster和iMesh。所以，我們可以通過檢查TCP或UDP凈荷的第一個字節(jié)識別eDonkey 2000數(shù)據(jù)流。這樣，一個TCP eDonkey 2000數(shù)據(jù)包的最小長度是45字節(jié)（TCP包頭＋5字節(jié)的eDonkey2000凈荷）。塊的大?。涸趀Mule客戶端程序的源碼中指出了eDonkey2000數(shù)據(jù)傳輸塊的長度為10240，通常在8個連續(xù)的數(shù)據(jù)包中。eDonkey 2000協(xié)議使用兩個TCP端口(4661，4662)和一個UDP端口(4665)。 eDonkey 2000當(dāng)前有兩個著名的基于Windows的客戶端軟件采用eDonkey 2000 P2P協(xié)議，它們是eDonkey2000和開放源碼的eMule客戶端。表21 P2P協(xié)議數(shù)據(jù)包凈荷開頭的字符串P2P ProtocolStringTransferprotocolDefaultportseDonkey20000xe3 0xc5TCP/UDP46614665Fastrack“Get/.hash”, “GIVE”0xc028,0x2700000029800x280000002900,0x2900000029010xc1(5 bytes),0x2a(3 bytes)TCPUDPUDP1214Gnutella“GNUTELLA”, “GIV”“GND”TCPUDP63466347BitTorrent“0x13BitTorrent protocol”TCP68816889后面將從兩個方面對4種最流行的P2P協(xié)議進行分析：(1) 數(shù)據(jù)包的格式：每種P2P協(xié)議的控制包通常都能通過檢查它的TCP或者UDP凈荷的前幾個字節(jié)而被識別出來。因為關(guān)于P2P協(xié)議分析的文檔非常缺乏，本文主要采用實驗抓包分析的方法，并參考一些權(quán)威的P2P官方網(wǎng)站，得出結(jié)論。隨著網(wǎng)絡(luò)帶寬和計算能力的進一步提高，P2P模式的系統(tǒng)結(jié)構(gòu)將會更加智能化、更加具有靈活性，以便提供更多的共享資源為人們所利用。而如果所有的搜索結(jié)點都被訪問過，就意味著整個網(wǎng)絡(luò)上的結(jié)點都被搜索到了，其速度要比純 P2P 模式快得多。用戶結(jié)點通過索引結(jié)點獲得搜索結(jié)點信息，之后用戶結(jié)點就與獲得的搜索結(jié)點相連，每一次查詢都通過該搜索結(jié)點進行。這種形式的關(guān)鍵之一是引入了索引結(jié)點，索引結(jié)點不會直接連接到有版權(quán)的資料，它就像Yahoo一樣，只是搜索和所需資料相關(guān)的地址，至于用戶到底連接下載了什么內(nèi)容和它無關(guān)。缺省情況下，搜索結(jié)點可以最多維護500個孩子結(jié)點。一個結(jié)點可以既是搜索結(jié)點又是索引結(jié)點。(3) 索引節(jié)點對于連接速度快、內(nèi)存充足的結(jié)點可以作為索引結(jié)點。useruseruseruseruseruseruseruseruseruserSearchindex4321SearchDownload圖23 混合式P2P的工作原理其系統(tǒng)機構(gòu)中共包含3中節(jié)點：(1) 用戶節(jié)點普通的節(jié)點就是用戶節(jié)點，它不具有任何特殊的功能?；旌鲜絇2P在分布式模式的基礎(chǔ)上，將用戶節(jié)點按能力進行分類，使某些節(jié)點擔(dān)任特殊的任務(wù)[12]。集中式P2P模型有利于網(wǎng)絡(luò)資源的快速檢索，并且只要服務(wù)器能力足夠強大就可以無限擴展，但是其中心化的模式容易遭到直接的打擊，分布式P2P形式解決了抗攻擊問題，但是又缺乏快速搜索和可擴展性。圖22 分布式P2P網(wǎng)絡(luò)系統(tǒng)分布式P2P網(wǎng)絡(luò)模型的優(yōu)點是結(jié)構(gòu)簡單，投資少，不需要昂貴的中央結(jié)點服務(wù)器，而且結(jié)點的保密性很好，能有效地保護用戶的隱私，因此受到廣泛的歡迎，但其缺點也不少，由于沒有中心管理者，對等點的查找和定位比較復(fù)雜, 安全性也不高，易遭受惡意結(jié)點的攻擊。其工作原理如圖22所示。對等節(jié)點之間的內(nèi)容查詢和內(nèi)容共享都是直接通過相鄰節(jié)點廣播接力傳遞，同時每個節(jié)點還會記錄搜索軌跡，以防止搜索環(huán)路的產(chǎn)生。廣播式P2P模型也被稱作為純P2P模型。(2) 隨著網(wǎng)絡(luò)規(guī)模的擴大，對中央索引節(jié)點進行維護和更新的費用將急劇增加，所需成本過高。圖21集中式P2P網(wǎng)絡(luò)系統(tǒng)集中式P2P系統(tǒng)的優(yōu)點是查詢效率高, 帶寬占用較低, 只需要一條消息就可以解決一個查詢。之后,用戶與最佳對等者之間直接點對點地傳送文件,而不再通過中央索引節(jié)點。當(dāng)某個節(jié)點請求一個文件時就向中央索引節(jié)點發(fā)送查詢消息, 中央索引節(jié)點隨即在它保存的索引文件列表中尋找擁有該文件的節(jié)點,然后就將這些節(jié)點的IP地址和端口號返回給請求用戶。在這種結(jié)構(gòu)中, 有一批專門的高性能服務(wù)器充當(dāng)中央索引節(jié)點, 這些節(jié)點保存著當(dāng)前活動節(jié)點的地址信息及其共享資源信息。這種網(wǎng)絡(luò)結(jié)構(gòu)非常簡單，但是它顯示了P2P系統(tǒng)信息量巨大的優(yōu)勢和吸引力。其用戶注冊與文件檢索過程類似于傳統(tǒng)的C/S模式，區(qū)別在于所有資料并非存儲在服務(wù)器上，而是存儲于各個節(jié)點中。 P2P主要網(wǎng)絡(luò)模型集中目錄式P2P網(wǎng)絡(luò)模型是最早出現(xiàn)的P2P應(yīng)用模型。帶寬管理產(chǎn)品將有限的帶寬人為的劃分成多個動態(tài)通道，將各個業(yè)務(wù)流控制在各自得通道中間，來保證各個業(yè)務(wù)流之間不相互干擾。QoS可以控制各種網(wǎng)絡(luò)應(yīng)用和滿足多種網(wǎng)絡(luò)應(yīng)用要求，如：控制資源、可裁剪服務(wù)和多種雪球并存。 相關(guān)概念下面將本文用到的比較頻繁的相關(guān)專業(yè)術(shù)語在此做簡要介紹：(1)QOS(Quality of Service，服務(wù)質(zhì)量) QoS旨在針對各種應(yīng)用的不同需求，為其提供不同的服務(wù)質(zhì)量，例如：提供專用帶寬、減少報文丟失率、降低報文傳送時延及時延抖動等。這與當(dāng)前高性能計算機中普遍采用的分布式計算的思想是一致的。采用P2P架構(gòu)可以有效地利用票聯(lián)網(wǎng)中散布的大量普通節(jié)點，將計算任務(wù)或存儲資料分布到所有節(jié)點上。而在目前的互聯(lián)網(wǎng)上，這些普通用戶擁有的節(jié)點只是以客戶機的方式連接到網(wǎng)絡(luò)中，僅僅作為信息和服務(wù)的消費者，游離于互聯(lián)網(wǎng)的邊緣。(5)高性能性能優(yōu)勢是P2P被廣泛關(guān)注的一個重要原因。在傳統(tǒng)的一些匿名通信系統(tǒng)中，實現(xiàn)這一機制依賴于某些中繼服務(wù)器節(jié)點。在P2P網(wǎng)絡(luò)中，由于信息的傳輸分散在各節(jié)點之間進行而無需經(jīng)過某個集中環(huán)節(jié)，用戶的隱私信息被竊聽和泄漏的可能性大大縮小。攻擊者可以監(jiān)控用戶的流量特征，獲得IP地址。隱私的保護作為網(wǎng)絡(luò)安全性的一個方面越來越被大家所關(guān)注。一些P2P模型還能夠根據(jù)網(wǎng)絡(luò)帶寬、節(jié)點數(shù)、負載等變化不斷地做自適應(yīng)式的調(diào)整。而且P2P模型一般在部分節(jié)點失效時能夠自動調(diào)整整體拓撲，保持其它節(jié)點的連通性。而架構(gòu)則天生具有耐攻擊、高容錯的優(yōu)點。(3)健壯性在互聯(lián)網(wǎng)上隨時可能出現(xiàn)異常情況，網(wǎng)絡(luò)中斷、網(wǎng)絡(luò)擁塞、節(jié)點失效等各種異常事件都會給系統(tǒng)的穩(wěn)定性和服務(wù)持續(xù)性帶來影響。而對于純P2P來說，整個體系是全分布的，不存在瓶頸。而在網(wǎng)絡(luò)中，隨著用戶的加入，不僅服務(wù)的需求增加了，系統(tǒng)整體的資源和服務(wù)能力也在同步地擴充，始終能較容易地滿足用戶的需要。為此機群、等技術(shù)紛紛上陣。(2)可擴展性在傳統(tǒng)的架構(gòu)中，系統(tǒng)能夠容納的用戶數(shù)量和提供服務(wù)的能力主要受服務(wù)器的資源限制。即使是在混合中，雖然在查找資源、定位服務(wù)或安全檢驗等環(huán)節(jié)需要集中式服務(wù)器的參與，但主要的信息交換最終仍然在節(jié)點中間直接完成。節(jié)點之間可以直接交換資源和服務(wù)而不必通過服務(wù)器。P2P徹底顛覆了傳統(tǒng)的客戶端/服務(wù)器(C/S)模型，它不再區(qū)分客戶端、服務(wù)器，而是讓每臺參與到 P2P 網(wǎng)絡(luò)中的機器既能像客戶端一樣享受服務(wù)，又能像服務(wù)器一樣提供服務(wù)，每臺機器稱作 P2P 網(wǎng)絡(luò)中的一個對等點（peer）。在此網(wǎng)絡(luò)中的參與者既是資源（服務(wù)和內(nèi)容）提供者（Server），又是資源（服務(wù)和內(nèi)容）獲取者（Client）。 P2P的基本概念 P2P的定義目前學(xué)術(shù)界、工業(yè)界對P2P沒有統(tǒng)一的定義，公認較權(quán)威的定義[1]有:(1) Peertopeer is a type of Internet network allowing a group of puter users withthe same networking program to connect with each other for the purposes ofdirectly accessing files from one another39。迄今為止，P2P網(wǎng)絡(luò)已經(jīng)歷了三代不同的網(wǎng)絡(luò)模型，各種模型各有優(yōu)缺點，有的還存在本身難以克服的缺陷。相對于傳統(tǒng)的集中式客戶/服務(wù)器(C/S)模型，P2P弱化了服務(wù)器的概念，系統(tǒng)中的各個節(jié)點不再區(qū)分服務(wù)器和客戶端的角色關(guān)系，每個節(jié)點既請求服務(wù)也可提供服務(wù)，節(jié)點之間可以直接交換資源和服務(wù)而不必通過服務(wù)器。73第二章 P2P網(wǎng)絡(luò)及P2P協(xié)議分析P2P網(wǎng)絡(luò)是一種具有較高擴展性的分布式系統(tǒng)結(jié)構(gòu)，其對等概念是指網(wǎng)絡(luò)中的物理節(jié)點中邏輯上具有相同的地位，而并非處理能力的對等。第四章實現(xiàn)了一個P2P流量控制系統(tǒng)，作者通過P2P協(xié)議分析的結(jié)果擴展Linux Netfilter框架，開發(fā)出P2P協(xié)議識別分類器，并逐個協(xié)議進行測試確保其分類工作準(zhǔn)確無誤，最后結(jié)合Linux的QoS工具tc，可以實現(xiàn)對P2P流量的帶寬管理?？晒U充的Netfilter構(gòu)件主要包括Table、Match、Target和Connection Tracking/NAT四類，分別對應(yīng)四套擴展函數(shù)。 本文主要研究內(nèi)容全文共分6個部分。使用這種機制后，P2P下載流量很難被防火墻、路由器以及其他的過濾設(shè)備發(fā)現(xiàn)。P2P下載使用了動態(tài)端口，同時將本身的流量偽裝成為HTTP流量。盡管很多企業(yè)網(wǎng)絡(luò)的管理者知道在他們的網(wǎng)絡(luò)上運行有P2P下載應(yīng)用，但他們通常沒有工具去發(fā)現(xiàn)這些流量，因此也不會了解P2P下載對他們管理的網(wǎng)絡(luò)帶來的沖擊。這樣的設(shè)計帶來的問題是，缺少對應(yīng)用層(OSI模型的第7層)流量的分析，因此也無法比較出正常的HTTP流量和P2P下載的流量區(qū)別。傳統(tǒng)的網(wǎng)絡(luò)級防火墻(包過濾)都是工作在OSI模型的第3或者4層，通過基于數(shù)據(jù)包的源/目的IP地址、MAC地址、TCP/UDP端口等進行過濾，監(jiān)視網(wǎng)絡(luò)流量。若是用戶不理解這種通信行為，還會增加用戶的抱怨。這樣以來，用于增加帶寬的費用將是個“無底洞”，因為這樣做只是給那些P2P應(yīng)用提供了更多可獲取的帶寬資源。最簡單的解決方法就是增加中繼帶寬。無疑，對于網(wǎng)絡(luò)管理者來說，監(jiān)視和控制網(wǎng)絡(luò)中間的P2P流量成了一個很緊迫而且頭疼的問題。尤其對于企業(yè)網(wǎng)絡(luò)來說，這種基于P2P技術(shù)的文件共享對運行在其中的企業(yè)級應(yīng)用，如ERP、CRM、VoIP等，造成巨大的沖擊。P2P的出現(xiàn)讓上網(wǎng)用戶在下載各種軟件、電影等大塊頭數(shù)據(jù)時，體驗到了飛一樣的速度。當(dāng)今P2P的應(yīng)用已經(jīng)是非常普遍的事情，然而P2P的廣泛應(yīng)用著實讓我們寬帶運營商感到十分為難，因為這類對帶寬的需求在理論上是無止境的，它們會使原來運行流暢的網(wǎng)絡(luò)變得越來越擁塞，同時還極大改變了網(wǎng)絡(luò)上的流量模型，并且將運營成本提高30%甚至更高。P2P不同與以往的服務(wù)器/客戶機構(gòu)的主從網(wǎng)絡(luò)，它是一種對等網(wǎng)絡(luò)技術(shù)。例如Cisco公司PIX Firewall, CacheLogic公司 P2P 流量管理解決方案。 國外大多采用深度檢測技術(shù)來發(fā)現(xiàn)P2P流量,從而控制P2P流量,或是使用緩存技術(shù)來實現(xiàn)對P2P流量的控制。例如華為的SecPath 1000F防火墻和Eudemon500、1000防火墻、CAPTECH的網(wǎng)絡(luò)管理軟件—網(wǎng)絡(luò)慧眼，以及暢訊通信的產(chǎn)品SG。現(xiàn)在可以在網(wǎng)上找到一些P2P流量監(jiān)控方面的軟件。CacheLogic經(jīng)過研究后[6]得出三個結(jié)論： P2P已經(jīng)是ISP網(wǎng)絡(luò)的最大消費者；P2P流量已經(jīng)大大超過web流量；P2P流量還在繼續(xù)增長。，1999年該程序成了互聯(lián)網(wǎng)上的殺手級應(yīng)用――它令無數(shù)散布在互聯(lián)網(wǎng)上的音樂愛好者美夢成真，Napster網(wǎng)絡(luò)最高峰時有8000萬注冊用戶。一個互聯(lián)網(wǎng)應(yīng)用要出現(xiàn)并成為殺手級應(yīng)用必須具備兩個條件：互聯(lián)網(wǎng)上現(xiàn)有設(shè)備的支持和網(wǎng)絡(luò)用戶的強烈需求?？傊?，本文對于網(wǎng)絡(luò)中間存在的P2P下載提供了很好的監(jiān)視和控制解決方案，使用的應(yīng)用層分析技術(shù)也可讓網(wǎng)絡(luò)管理者對網(wǎng)絡(luò)資源的應(yīng)用分布情況得到充分的了解和認知。此方法可以完全禁止不想要的P2P流量，還可以和Linux Qos工具一起使用來限制P2P的帶寬占用，合理分配網(wǎng)絡(luò)資源，從而提高網(wǎng)絡(luò)性能。本文中作者提出了一種基于Linux內(nèi)核擴展模塊的P2P數(shù)據(jù)識別和控制的方法，通過Linux系統(tǒng)防火墻框架Netfilter連接跟蹤機制來跟蹤所有的連接并判斷每個包屬于哪個連接。特別是現(xiàn)在P2P技術(shù)飛速發(fā)展，P2P下載軟件無限制的占用帶寬資源，它們使用動態(tài)端口，同時又偽裝成HTTP流量，很難被防火墻、路由器以及其它過濾設(shè)備發(fā)現(xiàn)。涉密論文按學(xué)校規(guī)定處理。作者簽名： 日期： 年 月 日學(xué)位論文版權(quán)使用授權(quán)書本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國家有關(guān)部門或機構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。對本文的研究做出重要貢獻的個人和集體，均已在文中以明確方式標(biāo)明。作者簽名：　　 　 　　 日　 期：　　 　 　　 學(xué)位論文原創(chuàng)性聲明本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨立進行研究所取得的研究成果。對本研究提供過幫助和做出過貢獻的個人或集體，均已在文中作了明確的說明并表示了謝意。 （保密的論文在解密后應(yīng)遵循此規(guī)定）研究生簽名： 導(dǎo)師簽名： 日 期： 畢業(yè)設(shè)計（論文）原創(chuàng)性聲明和使用授權(quán)說明原創(chuàng)性聲明本人鄭重承諾：所呈交的畢業(yè)設(shè)計（論文），是我個人在指導(dǎo)教師的指導(dǎo)下進行的研究工作及取得的成果。與我一