企业P2P通信网络检测与防护技术发展

谈到老北京生活的代表画面，可能很多人都会想到美丽的四合院。可是一旦真的走在北京的大街小巷，身临其境，你可能会发现很多四合院都已经成了大杂院。私搭乱建现象非常普遍，进出院门往往很不方便，对于体型丰满的人而言，最窄的地方可能通过都会成为一个挑战。这一现象在企业的网络中也同样存在，虽然企业的网络带宽远比几年前富裕，但是网络体验却未必与时俱进。制造障碍的是那些酷爱下载的用户，不管网络如何升级改造，对于网络管理员而言，网络下载相关的P2P 流量一直是最深的梦魇。抛开利用P2P协议在组织内部传输影音文件、应用程序可能带来的法律方面的困扰不提，即使单纯从网络可用性的角度出发，目前未对 P2P通信进行限制的组织中，P2P流量一般会占据20%到60%不等，这将会严重影响企业的正常业务。正常的邮件、VoIP等应用就像在大杂院中举步维艰的你我一样，在狭小的缝隙中艰难前行。

在组织中对P2P流量必须进行控制，这已经成为大多数网络管理者的共识。目前常见的入侵防护技术和流量整形技术一度被人们寄予厚望，这种技术通过签名技术将各种流量用白名单和黑名单加以区分，其工作机制类似于防毒软件。在初期也的确表现的中规中矩，颇能解决企业的P2P困扰。但是问题在于随着P2P协议技术的发展，签名技术越来越难以捕捉P2P流量。传统的入侵防护技术和流量整形技术对于P2P的效果因此也越来越弱。

P2P协议技术发展带来的挑战

以最具代表性的两种P2P协议为例，BitTorrent 协议在出现初期，客户端依赖于连接Tracker服务器，从该服务器获取其他正在下载该文件的人的地址信息。从这一点来看，BT并非全部为点对点，Tracker服务器是BT得以存在的核心。也因此对Tracker服务器的封杀即可实现对于BT的阻断。但是随着哈佛大学两位教授发表了了"去中心"的点对点网络论文后，BT技术出现了分布式哈希表DHT网络，真正做到了完全的分散，没有集中服务器用于注册、登录或存储有关哪些节点共享哪些文件的信息。DHT技术为BT下载带来巨大变化的另一佐证是世界最大BT下载网站"海盗湾"(thepiratebay.org)于2009年11月中的时候在官方网志上宣布，永久关闭Tracker服务器。这并非是反盗版的巨大胜利，而是该网站认为从技术上并不需要继续提供Tracker服务器即可在客户端完成BT下载。DHT技术当然也为基于网络检测和阻断BT带来了很大的挑战，因为不存在一个包含可被列入黑名单的 IP 地址或特定端口的列表 — 无法通过阻断IP地址和端口实现BT阻断，而必须通过分析各网络流量来完成。而且，一旦一个节点得到共享所请求文件的远程节点的 IP-端口对，BitTorrent 协议支持信息流加密 (MSE) 或协议头加密 (PHE)，以对整个文件-传输 TCP 会话进行加密。对于传统的入侵防护系统或流量整形设备而言，一旦两个节点间设置了共享密钥，并使用该密钥进行了加密以启动共享所请求变得的文件。这些设备可能会束手无策。Skype协议与之类似，也采用了通信加密处理。比BT更为棘手的是，Skype并非开源软件，并且在其发布版本采用了多种反逆向工程措施。这使得对其协议进行解析变得更加困难。入侵防护系统或流量整形设备首先需要解析Skype协议，并通过耗费大量计算资源逆向解开密钥，并对于所有网络通信实现这一检测。这使得即使没有技术障碍，对于Skype的检测也不经济—因为开启这一检测功能将严重影响网络性能。

P2P检测和防护技术的发展

为了适应P2P的改变，除了面对DHT技术和加密技术外，需要有一种一劳永逸的思路来McAfee Labs 展开的 P2P 研究，McAfee 的研究人员设计了若干正在申请专利的技术，这些技术能够识别逃避 P2P 文件共享协议的一般行为特征，即这些 P2P 系统自身具有的高逃避性、文件共享和分散性特征。这种技术的优势在于：P2P 对传统流量整形基于协议的识别签名技术展开的"抵抗"越凶猛，新技术对其进行检测越容易。接下来，将概述这一创新的对逃避性批量传输进行速率限制的技术。

这一技术通过以下三个阶段对于采用了逃避技术的 P2P 文件共享进行分类：

第一阶段：设置灰名单 — 对未分类的协议进行分类

首先，我们要尝试依据已知"已知良好"(白名单)和"已知有害"(黑名单)对协议进行分类。

McAfee 的研究人员开发了一个网络应用层协议分类引擎，该引擎的检测范围涵盖上百种协议，包括 TCP/IP 堆栈(例如，TCP 和 ICMP)、应用级协议(如 FTP、TFTP 和 HTTP)以及 P2P 和即时消息协议(例如，eDonkey、BitTorrent 和 MSN)。该引擎可对于对网络流量进行白名单和黑名单划分。例如，FTP 和 SSH 等协议列入白名单，而 BitTorrent 和 Gnutella 变体则被列黑名单。任何未被归类为白名单和黑名单的网络流都将被标记为灰名单(未知)协议。

来源：ZDNET安全频道