网络的非正常流量可以分为两类:恶意流量和非理性流量。前者指病毒、木马、扫描、垃圾邮件等攻击性流量,它们对网络安全构成严重威胁;后者指以P2P技术应用为代表的、大量占用和消耗网络资源的流量。对于恶意流量,我们可以采取用户认证技术定位和防火墙技术进行遏制,在此方面,各地都有比较成熟的技术和应对方法;而对于非理性流量,人们对它的认识和研究正逐步深化。非理性流量同恶意流量一样,会带来病毒等影响网络安全的问题,因此,我们要引导用户理性使用网络、规范网络行为。
鉴于对非理性流量的研究还处于探索阶段,P2P应用也在不断变化,本文以非理性流量的管理和控制为例,说明如何实现对用户网上行为的控制。
P2P流量泛滥给网络带来的问题
P2P(Peer to Peer)是一种崭新的网络技术思想。不同于以往的服务器/客户机主从网络,它是一种对等网络技术,又称为“点对点”技术。
P2P下载技术是对传统下载技术的变革,跨越了传统的共享思路,实现了“多点对多点”的共享概念。在P2P下载中,每一个下载者同时担当了上载者的角色,越多人下载,亦表示有越多上载者将它们暂时不用的上载带宽分享出来,形成了一个“上载流”,再平均分给各个下载者。简单地说,每个用户下载文件的同时,就会将下载完的文件共享出来,不论是多少MB都会平均分享给每一位下载者,这就是“多点对多点”的共享概念。
P2P的总体使用情况很难去衡量。但是Internet2主干网基础构造的主管Steven C. Corbato表示,他在2003年5月就注意到P2P的流量开始激增。而当年10月,P2P的流量更是超过了这个超高速网络总体流量的10%。与之对比,其他文件交换系统的流量没有一个能超过Internet2总体流量的1%。2004年的6月更是一个分水岭,流传于互联网上的视频流首次超过了音频流,其间P2P的作用功不可没。
P2P使用户在下载各种海量数据时体验到了飞一样的速度。然而,由于P2P绕过服务器,整个过程缺乏有效管理,也存在大量问题,例如:知识产权问题、安全性问题、大量垃圾冗余信息以及严重占用带宽的问题。尤其对于校园网和城域网来说,基于P2P技术的文件共享对正常应用的危害主要可归纳为以下几点。
1.改变了网络流量分布。尽管很多网络管理者知道其网络中存在P2P下载,但以前很少有人真正关注这种应用到底占用了多少带宽资源。以天津到北京的线路为例,P2P经常占用60%~70%的主干带宽。CERNET通过主干网连接各个地区的校园网,P2P下载严重破坏了主干网的出口带宽资源分配,彻底改变了网络流量构成,造成各地到北京的线路以及CERNET与其他运营商间的交换线路拥塞。
2.网络流量不可预知。 P2P下载流量具有很强的突发性和侵略性。P2P程序在启动时会建立数量巨大的连接,这些连接会使得网络流量突然迸发,进而在相当一段时间内维持很大的网络流量,使得校园网中其他正常业务的应用受到很大影响。用户会明显地感觉到正常业务系统反应变慢,甚至没有反应。
3.P2P产生的巨大流量使网络的规划、建设、管理和运行维护面临困境。P2P的巨大流量使主干网、城域网和校园网的管理者们面临巨大压力。以天津为例,校园网内部、校园网之间-城域网内部、城域网到北京的主干处处拥塞,无论怎样升级设备、增加带宽,也难以满足无限制进行P2P下载所造成的巨大带宽的需求。今年夏天,天津到北京线路从2.5G 升级到了5G,但几乎在瞬间就“跑满了”,用户们对网速慢的抱怨并未停止。未来的网络怎样才能满足正常业务的可用性需求?我们很难做出性价比可接受的实施方案。
传统的防火墙(包过滤)都是工作在OSI模型的第2、3或者4层,通过基于数据包的源/目的IP地址、MAC地址、TCP/UDP端口等进行过滤,监控网络流量。一般来说,不保持前后连接信息,过滤决策只取决于当前数据包的包头。缺少对应用层(OSI模型的第7层)流量的分析,因此也无法判断正常流量和P2P流量的区别。
随着网络的发展、网络应用的增多,越来越多的应用使用动态端口,加之近年来很多应用都透过80端口进行,传统的方法已经无法对数据包进行准确有效的识别和控制。尽管很多网络管理人员知道P2P的泛滥,但通常没有工具发现这些流量,因此难以透彻了解P2P业务给网络正常运行带来的冲击。因为P2P的通讯机制使用了动态端口,同时将其本身伪装成为HTTP流量,这种与生俱来的特性源于P2P程序的防御机制。所以P2P流量很难被防火墙、路由器以及其他的过滤设备发现,为了识别和控制P2P流量,我们必须使用基于第7层流量的分析工具。
合理使用网络资源
如果说P2P对于管理和控制非理性流量是一个技术难题的话,那么用户行为则是一个管理上的难题。长期以来,某些运营商的包月制计费方式产生鼓励用户无限制地使用网络资源的作用,导致很多用户往往无限制占有和使用网络资源。图1是天津城域网中一个局部的、未加控制时的流量分析。
可以看到BT、PPLIVE之类的P2P流量占到了70%以上。一般而言,用户们在抱怨网络慢的时候,很少会考虑到其自身的上网行为对网络性能所起的负面作用。从管理角度而言,如果能够有效约束和引导用户理性使用网络资源,对于提高网络正常业务的可用性将产生巨大的作用。对此我们应当进行必要的宣传和教育,使用户们了解,网络资源投资浩大,并非可以无限制地任意使用。其次,应当完善用户管理方式,在优先满足教育网络服务于教学、科研、管理等正常业务的前提下,尽可能满足用户使用各种其他网络业务的需求。
天津的做法
在网络建设、管理、运行和维护的实践中,天津主节点最深的体会之一,就是必须在技术和管理层面,加强对用户上网行为的约束和引导。
在网络用户管理方面,天津大学和南开大学始终对用户实行每月最高流量限制,一般用户为每月5G限额,超额者停止网络服务,这使得即使在不具备技术手段控制网络业务流量时,非正常业务也从未泛滥成灾。
就对P2P业务的管理控制方式而言,分布式显然优于集中式。但由于天津市高校各方面条件的限制,目前还无法在天津市城域网内全面部署分布式的控制系统。分析表明:目前天津城域网最大的瓶颈是到北京的线路。为了保证在高考招生期间招生业务的正常进行,也为了在天津城域网内约束非理性流量,天津主节点在请示市教委和市招办领导同意后,采取集中控制与重点控制相结合的做法,在天津到北京的出口线路和城域网内某些局部重点,用技术手段对P2P流量和其他非正常流量进行管理和控制。
局部控制点采用了台湾设备ASCENFLOW1000。图2是其加控制后的流量分析。可以看到,P2P流量得到了抑制(降低到不足30%)。
集中控制点采用了Cisco公司产品SCE 2020,它具有四个千兆接口,可以满足目前天津到北京线路的带宽需求。具体控制策略为:
1.每个用户的P2P业务流限制在上行50K下行100K。
2.P2P业务流总带宽占用限额为200M。
3.上述两种限制基于网络正常业务流分布按照时段划分,限制时间为每天7点到23点,23点至次日7点取消限制。以使用户在网络业务相对空闲时能够使用该类业务,如收看世界杯比赛。
对每个用户不加区别地限制若干流量并非上策,下一步我们拟开发基于业务流限制的用户管理系统,可以针对不同业务流限定若干不同“配额”,用户能够自主地选择使用并随时切换,这能有效地引导用户理性使用网络资源。
(本文选自:《中国教育网络》)
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。