通信技术CommunicationsTechnologies基于DPI的P2P流量控制系统的设计与实现汤昊，李之棠(华中科技大学计算机科学与技术学院，湖北武汉430074)【摘要】基于对P2P通信进行控制的迫切需求，论文给出了一种基于DPI的P2P流量控制系统的设计与实现。首先描述了识别P2P通信的一些技术，在此基础上，对P2P流量综合控制模型进行了分析；再结合实际情况给出了一种基于DPI的流量控制模型，并给出了其简单实现；最后对该模型进行了性能分析和评价。实验证明，该实现对于控制P2P流量是非常有效的。【关键词】P2P；DPI；流量识别；流量控制【中图分类号】TP309【文献标识码】A【文章编号】1009-8054(2007)06-0094-03DesignandImplementationofaDPI-BasedP2PTrafficControlSystemTANGHao,LIZhitang(DepartmentofComputerScienceandTechnology,HuazhongUniversityofScienceandTechnology,WuhanHubei430074,China)【Abstract】BasedontheurgentrequirementstocontrolP2Pcommunication,thispapergivesthedesignandimplemen-tationofaDPI-basedP2Ptrafficcontrolsystem.ThispaperfirstdescribessometechnologiestoidentifyP2Pcommunica-tionandanalysestheP2Pintegratedcontrolmodel.Theninrecombinationoftheactualsituation,aDPI-basedtrafficcontrolmodelanditssimpleimplementationispresented.Finally,theperformanceanalysisandappraisaltothismodelisconducted.TheexperimentsproveitsefficiencyincontrollingP2Ptraffic.【Keywords】P2P;DPI;Trafficidentification;Trafficcontrol不仅会造成IT资源的巨大浪费，并且可能为企业安全防护打1引言开一扇后门，使病毒和恶意代码得以躲过安全审查潜入企业P2P(Peer-to-Peer)以其独特的技术优势在近几年内迅速内部网络。因此，实现分类、标识和控制P2P流量越来越成发展，涌现出了大量的应用软件，如BitTorrent、eDonkey、为企业、网络运营商急需解决的问题。Skype、Kugoo(酷狗)、Maze、QQ等。据统计，P2P业务已占据了互联网业务总量的60%～80%，成为网络带宽最大的2P2P流量识别的关键技术消费者。P2P业务不断增加，造成了网络资源的巨大消耗，甚2.1关键技术至引起网络拥塞，对其它正常网络业务，如Web、FTP、E-要控制P2P通信，就必须对P2P通信进行有效的识别。mail等的性能造成极大的影响；对企业用户来说，P2P业务然而，许多P2P协议不使用固定的端口，而是动态地使用端口，包括使用一些知名服务的端口，从而穿透传统的基于IP和端口的防火墙和包过滤器。所以，传统的基于IP和端口的收稿日期：2006-12-18分类技术很难识别、跟踪或控制这类通信。目前有几种可用作者简介：汤昊，1981年生，男，硕士研究生，研究方向：于控制P2P通信的方法，在控制P2P通信上都有一定的效果，计算机网络、网络安全。李之棠，1951年生，男，博士、教但都有缺陷。下面对这几种方法作了简单的描述：授，博士生导师，研究方向：计算机网络、网络安全、计算(1)传统的封杀IP和端口。这种方法可以在一定程度上机系统结构和并行处理。阻断某些P2P通信。94通信技术CommunicationsTechnologies(2)URL过滤。如，对BT可以禁止扩展名为.torrent的P2P流量监控技术和产品。这些产品基本都使用了DPI技文件的下载。这种方法也有很大的局限性，因为torrent文件术。DPI技术成为主流的原因如下：完全可以通过别的方式获得(如ftp)，也可以换一个扩展名[1]。—通过各种优化措施和发现更多的payload特征，(3)基于流量特征的检测技术[2]。P2P应用在传输层表DPI技术可以达到非常