https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1

觀點

以入侵偵測防禦技術來控制P2P流量

2007 / 01 / 29
林蒲英
以入侵偵測防禦技術來控制P2P流量

以入侵偵測防禦技術來控制P2P流量
如何管理點對點(P2P)流量是所有的企業都會面臨到的挑戰。儘管比較多的企業可以選擇關閉 (或試圖關閉)點對點應用程式流量,然大學一般都無法享受到這種幸福。這是因為某些類型的P2P應用程式在有些情況下是有用處的。在許多教育機構中,雖然禁止Kazaa不見得會引起廣泛的反彈,但若停用Bit Torrent和P2P即時傳訊應用程式卻可能會帶來相當程度的不安和指責。
這些應用程式不論用處多大,因為習慣會佔用網路來達成自身的目的,還是會對網路管理者帶來很大的挑戰。例如,如果希望Bit Torrent的下載速度很快,您需要讓用戶端散佈目前正在下載的檔案到其他需要這個檔案的用戶端。因此,單一Bit Torrent下載有可能會產生數百個連線,而多數流量是在將資料從您的站點散佈出去。一些教育機構已經禁止在網路上使用如IM和Bit Torrent之類的應用程式。不過,即使禁止使用P2P應用程式,要監督執行卻是困難重重,因為這些應用程式非常善於規避防火牆的控制。
但是好的網路管理者並沒有特權只是聳聳肩說:「既然沒辦法禁止,那就不用管了。」了解網路上正在發生什麼事,並且在發生的事會造成損害時採取適當的步驟是網路管理者的責任,不論受害者是提供給使用者的服務還是教育機構的預算。如果您沒辦法加以測量,您就無法控制,更不用說管理了。
幸運的是,市面上已經有一些工具可用來衡量對網路上P2P流量的控制。最新的IDP(入侵偵測防禦)裝置可以辨識大部分的P2P流量,即便是偽裝成類似單純的網路流量。這些裝置有這個能力是因為會根據狀態來研究網路流量的內容,並且追蹤防火牆無法取得的應用層資訊。防火牆一般依照預設最多只會檢查到第4層的標頭,如果具備深層檢查功能的話,可能會再稍微進一步檢查。
雖然IDP裝置可以識別P2P應用程式,但操作的層次卻僅止於各個連線。要能在整體的層次上運作,我們必須讓IDP裝置與邊界路由器攜手合作,IDP裝置會識別所有的P2P連線,並在這些封包的DSCP欄位做上記號,讓邊界路由器(其操作層次為封包)得以辨識所有傳入的P2P流量。接著在流量上套用分類器,流量是不是被引導至特定整體頻寬,就是單純地用計量器來測量。以這種方法,網路管理者可在一定程度控制P2P的流量,並確保這個流量不會佔用整個到骨幹的網路連線。
如果要控制雙向的流量,IDP裝置的連線方式會必須複雜一點,但還是行得通的。您現在可能在猜想我為什麼還沒提到Skype,在許多方面這可能是市面上最有用、也是最狡猾的 P2P應用程式。原因是Skype是個特例。它是最難偵測和控制的P2P應用程式,因為它極為靈活,大部分的資料交換又經過加密。換另一方面來說,如果機構和大學一樣有著離鄉背井又預算有限的學生,在切斷讓學生和家鄉父母得以如此經濟有效地通話的方法之前,都會再三考慮。