基于NetfilterP2P流量测量系统.docVIP

基于NetfilterP2P流量测量系统 　　摘要：分析了P2P流量的特征，讨论了当前有关P2P流量识别与测量的研究现状。在分析一个通过应用层匹配来识别P2P流量的模块IPP2P基础上，给出了一个基于Netfilter的P2P流量测量系统。该系统通过高速的内核字符串匹配来识别P2P数据流，在此基础上运用连接跟踪技术进行高效的流量统计，实现对P2P流量的实时测量。 　　关键词：P2P流量测量； Netfilter； IPP2P； 应用层识别； 连接跟踪 　　中图分类号：TP393文献标志码：A 　　文章编号：1001－3695(2008)04－1224－03 　　 　　 　　P2P以其独特的技术优势在这几年内迅速发展，其应用不断增长。据统计，P2P应用已占ISP业务总量的60%～80%，成为网络带宽最大的消费者。然而P2P对带宽的影响至今还不能给出一个定量的评估，这一切源于P2P特有的协议特征，给识别、测量带来了巨大的挑战，传统基于端口的流量分类和测量的方法已经失效。为此，本文提出在Netfilter框架下实现的一个P2P流量测量系统，该系统能较准确地识别并测量P2P流量，进而可定量研究P2P流量对网络的性能影响。 　　 　　??1P2P流量特征及相关研究现状 　　 　　?サ鼻?P2P技术主要应用于文件共享和交换，且大多是用于大型的多媒体文件的共享和交换，其对带宽的占用上已居统治地位，它有以下特征： 　　a）无处不在。P2P应用已经深入到网络的每一个角落，通过内网穿透技术导致连内部网均充斥着P2P应用的端点。 　　b）带宽耗尽。P2P应用竭尽所能地消耗着链路带宽，已成为带宽的最大消耗者。 　　c）协议丰富。每种P2P应用均有其特定的协议细节，且各不相同，增加了检测和分类的难度。 　　d）持续在线。鉴于多媒体文件的巨大数据量以及协议保证的共享精神，P2P应用总是保持在线。 　　?ヒ?测量P2P流量，最重要的就是必须对P2P流量进行有效的识别。然而，许多P2P通信使用了不同的通信技术和协议，使用传统的第四层报文分析技术来识别它们非常困难。比如，许多P2P协议不使用固定的端口，而是使用动态端口，包括使用一些知名服务的端口。KaZaA就可以使用端口80（通常是http/web）来通信，从而穿透传统的基于IP和端口的防火墙和包过滤器。所以，通过简单的基于IP地址和端口的分类技术（分析IP包头、IP地址、端口号等）很难识别、跟踪或控制这类通信。 　　?サ鼻安⒚挥幸惶壮墒斓姆桨咐唇饩鏊?有P2P流量的识别问题，通常采用的方法是进行应用层识别，如可通过查找应用层数据，若发现BitTorrent protocol特征串，则可认为该数据流属于BT应用。 　　当前P2P流量的测量也没有很完善的解决方案，大多依赖于专门硬件实现，如思科SCE系列设备，可对每个用户的应用级IP流量实施基于会话的分类和控制；还有德国Ipoque公司生产的PRX P2P filter系统，可提供实时流量数据和流量管理。 　　 　　??2Linux防火墙Netfilter 　　 　　?ゴ?Linux Kernel 2.4开始，一个新的网络包过滤框架Netfilter/Iptables代替了原来的Ipchains/Ipfwadm系统。作为内核网络协议栈的一个扩展子集，Netfilter可以在内核空间非常高效地进行包过滤、网络地址转换（NAT）和包重组。 　　??Netfilter为每种网络协议(IPv4、IPv6等)定义一套钩子函数（IPv4定义了五个钩子函数),这些钩子函数在数据报流过协议栈的几个关键点被调用。在这几个点中，协议栈将数据报及钩子函数标号作为参数调用Netfilter框架。每个希望嵌入Netfilter中的模块均可以为多个协议族的多个调用点注册多个钩子函数（hook），这些钩子函数将形成一条函数指针链，每次协议栈代码执行到NF_hook()函数时（有多个时机），均会依次启动所有这些函数，处理参数所指定的协议栈内容。Netfilter提供的是一套hook框架，其优势是易于扩充。Netfilter 核心部分提供了一个分析、处置 packet 的架构，但是核心部分代码并不具体地去分析、处置 packet。这个具体的分析、处置的任务被交给其他的 module来完成。所以扩展Netfilter的方法就是编写自己的module。可供扩充的Netfilter构件主要包括table、match、target和connection track protocol helper四类，分别对应四套扩展函数。通常扩展Netfilter的方法是为Netfilter写一个规则表match或者写一个新的钩子函数注册到Netfilter。 　　?ケ