要控制P2P通信,就必须对P2P通信进行有效的识别。然而,许多P2P协议不使用固定的端口,而是动态地使用端口,包括使用一些知名服务的端口。比如,KaZaA就可以使用端口80来通信,从而穿透传统的基于IP和端口的防火墙和包过滤器。所以,传统的基于IP和端口的分类技术(分析IP包头、IP地址、端口号等)很难识别、跟踪或控制这类通信。
目前有几种可用于控制P2P通信的方法。这几种方法在控制P2P通信上都有一定的效果,但都有缺陷。下面对这几种方法作简单的描述:
(1)传统的封杀IP和端口。对于BT,可以封杀一些比较活跃的BT论坛和tracker服务器的IP;封杀所有端口,只开放一些必须的端口。这种方法可以在一定程度上阻断某些P2P通信,但如上所述,这种方法存在很多缺陷。
(2)URL过滤。如,对于BT,可以禁止扩展名为.torrent的文件的下载。这种方法显然也有很大的局限性,因为torrent文件完全可以通过别的方式(如ftp)获得,也可以换一个扩展名[1]。
(3)基于流量特征的检测技术[2]。P2P应用作为一种充分利用客户端资源的新型应用,它在传输层表现出来的流量特征相对于其它应用,如HTTP、FTP、DNS等,有许多不同的地方。基于流量特征的检测技术即是通过检测这些新的流量特征来发现P2P应用。
其优点有:①由于P2P应用具有普遍适用的流量特征,新的P2P应用也符合这一特征,所以这种技术有发现新的P2P应用的能力;②有检测加密P2P应用的能力。
其缺点有:①由于传输层流量特征一般不能明确指示应用层协议类型,所以这种方法对P2P应用分类的能力较弱,而应用分类对于QoS的实施是非常重要的;②由于不对称路由和丢包、重传现象的存在,导致无法精确确定流量特征,从而有可能P2P流量检测的精确度造成影响;③很多流量特征都不是P2P流量的,其它应用也有可能表现出这种流量特征,需要结合其它一些技术如端口检测来排除其它应用。
(4)深度包检测技术(DPI:Deep Packet Inspection)。深层数据包检测技术通过对数据包应用层协议的检测发现P2P应用。这种技术使用一个payload特征库存储payload特征信息,符合payload特征的数据包即视为P2P数据包。对于BT,如果IP包的数据区包含BT协议的特征串“BitTorrent protocol”,那么就禁止该数据包通过,这样,BT对等连接的握手无法建立,下载也无法继续。这种检测方法易于理解、升级方便、维护简单,是目前运用较普遍的方法。
其缺点是:①对新P2P应用的检测具有滞后性,即在未升级特征库前无法检测新的P2P应用,必须找到新应用的payload特征后才能对该应用实施有效检测;②对加密P2P应用的检测能力非常有限;③算法性能与payload特征的复杂度有关,payload特征越复杂,则检测代价越高,算法性能越差。
此外,Subhabrata Sen等人于2004年初提出基于应用签名的P2P流量检测方法,实际上是深度数据包检测方法的一种,该方法在性能和精度上都取得了令人满意的效果[3]。James Won - Ki Hong等人于2003年提出一种基于传输层特征的P2P流量检测方法,但没有给出性能参数[4]。国内王逸欣、王锐等人提出了一种把深度包检测技术和基于流量特征的检测技术相结合的技术[5]。
