panaibt协议流控网关技术白皮书(v72)

panaibt协议流控网关技术白皮书(v72)内容摘要：

ALL RIGHTS RESERVED. 版权所有，未经书面同意，不得转载。 FOR REFERENCE ONLY. 仅供参考。 北京 派网软件 有限公司 8 禁止 P2P： 全面禁止 P2P 应用将会是拥塞的网络恢复正常状态。 优点：企业可以禁止 P2P 的使用，提高员工的工作效率，而以往员工却花费时间和网络带宽进行娱乐性的网上冲浪。 缺点： ISP 将会失去用户，因为很多用户就是为了不受流量限制才租用了运营商的线路。 限制，而不是禁止 P2P： 使用能够识别第 7 层应用的流量管理解决方案，企业和运营商能够准确判别 P2P应用并进行限制。 优点： 可以通过多种控制策略进行，通过合理调配带宽资源，提高网络运行效率，如发生链路拥塞的情况下，减少分配给 P2P 应用的带宽或者降低 P2P 应用的优先级，保证同一服务级别的用户使用网络的公平性，将会大大改善网络响应速度质量。 当对P2P 应用流量进行限速管理之后，网络中的其他应用将变得很顺畅。 仅对上传进行约束： 对于 ISP 来说，这种约束能力显得更为关键，因为对于那些非线路租户使用其他租户的线路上传 (而并不承担相关费用 )的情况尤为关注。 运营商显然不会考虑这些非线路租户进行线路的升级，这也就是为什么选择限制上传流量的原因。 优点：对上传流量进行限制并不会影响到下载流量。 如某运营商对 P2P 应用的出向流量进行了限制，而这个方向的流量主要是由非线路租户产生，由于他们自己的线路租户的 TCP 确认信息并不会受到影响 (尽管它们的方向也是向外发送 )，就可以继续享受无限制的下载服务。 通过这项控制，该运营商用户的流量消耗得到了显著减少，成本大幅度下降，又保证了客户的满意度。 由于流量管理产品具有足够的灵活性，可以在不影响下载的前提下限制上传流量，从而使所有人都能获益：线路租户可以根据自己需要随意下载，运营商也得益于需要支付给骨干网络运营商的成本 的大幅度下降。 缺点：无。 PROPRIETARY amp。 CONFIDENTIAL. 机密及专有。 ALL RIGHTS RESERVED. 版权所有，未经书面同意，不得转载。 FOR REFERENCE ONLY. 仅供参考。 北京 派网软件 有限公司 9 如何检测网络中的 P2P 流量 为了能 从 应用 中把 P2P 应用 识别出来，网络可视性（ Network Visibility）是至关重要。 这种检测能力将了解到在当前的网络中运行着哪些 P2P 应用、哪些 P2P 应用正在吞噬网络中的宝贵资源、哪些用户占据了过多的网络资源从而造成了网络的拥塞。 当检测和分离这些流量之后，就可以对 P2P 应用进行限制或者阻止、或者为其他的应用或用户分配和保证所需的带宽，或者把 P2P 应用的流量避开峰值时段，合理调配带宽使用，从而利用现有的带宽资源，最大限度地提高带宽的效率。 深层数据包检测 (DPI):识别 P2P 应用的唯一可靠办法： 对 P2P 应用进行判定，需要借助复杂的第 7 层识别技术，使用各种方法来检测这些难以捉摸的应用。 由于多数 P2P 应用软件都使用端口跳动技术或者盗用一些常用服务的协议端口进行通信传输，所以通过对端口对它们进行识别显然是远远不够，传统的流量限速设备无能为力。 因此，所有的数据包都必须到应用层面（ Application Layer）上进行检查，即对传输协议如 TCP 协议的载荷（ Payload）部分进行检查，以判断它们是否符合代表某种应用代码的样本特征，在很多情况 下，对于某一种应用的识别需要检测它是否多个代码样本的特征。 基于会话的应用分类： 标准的协议头部 (Header)字段如 TCP/UDP 的端口号字段在每一个数据包中都存在，而第 7 层的协议代码样本通常只能在一次协议会话的前几个数据包中存在，并进行会话标记的请求以标识本次会话中所有的数据包。 当网络中产生了一个新的会话，如P2P 应用会话，那么一个唯一的协议签名 (Signature)就必须被找到并能够与已知的协议代码样本相匹配，如当使用第 7 层的分类方法对一个 P2P 应用进行了正确的识别，那么该会话中的后续数据包就能够被正 确的判别为该 P2P 应用会话的数据流量。 有些情况下，一个 P2P 应用使用不止一个会话，这就需要流量管理系统能够从两个或多个会话中提取信息并进行关联以找到能够匹配的代码样本。 并非基于端口的分类： P2P 应用通常使用随机的端口号或者借助一些常用的端口号来进行传输，因此在进 PROPRIETARY amp。 CONFIDENTIAL. 机密及专有。 ALL RIGHTS RESERVED. 版权所有，未经书面同意，不得转载。 FOR REFERENCE ONLY. 仅供参考。 北京 派网软件 有限公司 10 行 P2P 应用样本搜寻时，就不能做任何的假设，需要对网络中所有数据流进行第 7 层协议的探测，而不管它们是否使用了某个端口号。 每秒连接数： 不寻常的连接数量可能是在暗示着网络中 P2P 应用的使用，也可暗示着异常流量的存在，如病毒、蠕虫、有害程序等等。 P2P 是具有侵略性的应用，它可以在短时间内建立超负荷的连接，异常的连接数量在流量管理设备中可以设定告警机制，帮助网络管理员及时解决问题。 技术解决方案 针对 P2P 应用的流量管理特点，检测、性能和系统稳定性这三个因素是至关重要。 不能正确检测区别 P2P 流量，就不能进行管理控制。 性能不能满足要求，没有足够的处理能力，造成网络延迟的增大，同样也是无效。 下面简要介绍一下 Panabit应用层流量控制设备 检测 与控制 P2P系统所使用的独特的应用层识别技术，在此之前，我们先介绍一下目前在其它产品中常用的技术： (1)基于数据包的无状态识别技术。 这种技术一般是采取模式匹配的方式，对每个数据包进行模式匹配，并且不考虑数据包之间的逻辑关系，采取这种方式的系统的好处是实现简单，但是它的缺点也是很明显的，就是性能低下，易成为网络的瓶颈。 (2)基于连接的有状态识别技术。 这种技术是一般的传统防火墙所采取的技术。 在防火墙现有的状态表的基础之上，将连接所产生的所有数据包看作一个整体，如果其中某个或某些数据包符合指定的特征，那么认为 这条连接就是符合该特征的连接。 所以，如果该特征是 BT 通信，那么这条连接就是两个 BT 客户端或一个 BT 客户端和一个 BT服务端在通信。 在运营商的网络环境里，由于节点一般都是网络交换节点，因此许许多多的 P2P节点的通信都会通过运营商的交换网络，这些节点以十万，甚至百万计。 如果采取基于连接的有状态识别技术，所能控制的 P2P 通信非常有限，这种技术只适合于小规模的网络，如中小企业网络。 Panabit 应用层流量控制设备 采用“基于节点的有状态识别技术”可以避免上述问题。 PROPRIETARY amp。 CONFIDENTIAL. 机密及专有。 ALL RIGHTS RESERVED. 版权所有，未经书面同意，不得转载。 FOR REFERENCE ONLY. 仅供参考。 北京 派网软件 有限公司 11 一个典型的 P2P 是由许多节点构成的，每个节点都是一 个服务器，这个节点可以同时为其它节点提供服务。 基于节点的有状态识别技术的基本思想是从节点双方的通信过程中寻找特征数据，这些特征数据不限于某条特定的连接，如果特征匹配，那么系统将记录该节点，而不是某条连接。 一旦该接点被识别出来，那么后续同该节点通信的数据无须重新验证，因此极大的提高了系统的性能。 P2P 应用中， 客户端既是客户，又是服务器，在某端口上监听为其他客户提供服务 ，根据这一特性，将 IP＋服务端口 在内存中定义一个 二元组 ，称之为节点。 Panabit 应用层流量控制设备 在基于节点的有状态识别技术的基础上向智能方 面进一步发展，该技术可以从多条连接中自动根据某种统计规律来识别某些特征不明显或者被加密了的通信协议（如 SkyPe），在保证性能的同时，提高了系统识别的准确性。 这种技术针对 P2P 应用尤其有效。 此外， Panabit 应用层流量控制设备 针对第 4 代 P2P 应用软件的变化，采用独有主动探测和服务伪装技术保证对 P2P 识别的准确性。 Panabit 应用层流量控制设备 采用独有的服务探测引擎可以识别第四代 P2P 应用，如 emule。 服务伪装， 对于迅雷这样综合了 P2P 和 HTTP,FTP 等传输协议的应用， Panabit 应 用层流量控制设备 开发了独有的服务伪装引擎。 从技术角度看， P2P 应用有如下几个特点： (1)一个 P2P 节点（客户端程序，比如 BitComet）通常与成百上千个客户端连接，因此节点之间的连接数目巨大。 假如一个节点有 200 条连接，那么 10000 个节点就有可能达到 200 万条连接，保守估计也会有 100 万条连接，如此大的连接数将使设备不堪负担。 (2)不像 Web 浏览这样的 HTTP 协议， HTTP 连接一般持续的时间比较短，而 P2P主要目的是用来共享大的文件，需要传送大量的数据，因此 P2P 客户端之间的连接一般持续的时间比较 长，这就意味着系统的资源很长时间不能得到释放，因此大大增加系统被 DOS(Deny Of Service，拒绝攻击 )的机会。 针对上述特点， Panabit 应用层流量控制设备 通过学习的方式，采用连接识别和节点识别相结合的方式，大大减少了连接数，这样可以用较少的资源监控更大的 P2P 应用网络，同时提高了系统的效率。 PROPRIETARY amp。 CONFIDENTIAL. 机密及专有。 ALL RIGHTS RESERVED. 版权所有，未经书面同意，不得转载。 FOR REFERENCE ONLY. 仅供参考。 北京 派网软件 有限公司 12 系统架构 Panabit 应用层流量控制设备 核心是 专用 OS， 基于 FreeBSD(目前最稳定的操作系统 )，但是在原有 FreeBSD 基础上做了如下修改和增强： (1)对网络协议栈作了大量的修改和优化，使得 数据平面 (Data Plane，见下图 )能够以最快速度执行。 (2)去掉内核部分代码，使得核心更小。 (3)针对特定的硬件进行优化，使得在特定的硬件上更快运行。 (4)修改部分中断处理函数和网卡驱动，使得数据平面 (Data Plane)以较高优先级运行。 PanaOS 分为数据平面（ Data Plane）和控制平面（ Control Plane）两个部分： (1)数据平面 (Data Plane)：负责数据包处理，同时提供同控制平面的接口。 数据层面。