P2P应用识别与控制技术白皮书

　　1.1 背景

　　P2P是peer-to-peer的缩写，peer在英语里有"(地位、能力等)同等者"、"同事"和"伙伴"等意义。这样一来，P2P也就可以理解为"伙伴对伙伴"的意思，或称为对等联网。目前人们认为其在加强网络上人的交流、文件交换、分布计算等方面大有前途。

　　P2P还是point to point 点对点下载的意思，它是下载术语，意思是在你自己下载的同时，自己的电脑还要继续做主机上传，这种下载方式，人越多速度越快，但缺点是对你的硬盘损伤比较大(在写的同时还要读)，还有就是对你内存占用较多，影响整机速度!

　　德国互联网调研机构ipoque称，P2P已经彻底统治了当今的互联网，其中50-90%的总流量都来自P2P程序。在P2P程序里，BitTorrent已经超过eDonkey(含eMule)，占了P2P流量的50~70%，而后者根据地区不同份额为5~50%，不过在某些地方，eDonkey仍是P2P首选。

　　P2P(Peer-to-Peer)技术自出现以来，便得到了快速的普及和发展，尤其是应用最为广泛的P2P文件共享技术。由于P2P软件不断地进行更新，新的P2P软件也在不断涌现，并且P2P用户所共享的文件大多是最新或者最流行的，越来越多的人被吸引到P2P的阵营当中，P2P流量在整个网络流量中的比重与日俱增。据统计，仅在短短的几年时间内，P2P流量已经占据了固定网络中6O 以上的带宽，对Web，Email等其他网络服务构成了严重威胁。于是，如何识别P2P流量以及对其进行控制，渐渐成为了人们比较关心的问题。

　　基于P2P技术开发的软件，具有如下几个典型特征：

　　1、软件类型非常繁多，且采用的通信协议不规范，不标准;

　　2、每一个主机既是服务器，也是客户端，没有明显的中央控制单元，流量具有网状连接特征，很难识别;

　　3、网络逃避运营商等对P2P业务的控制，普遍采用加密传输、频繁更新协议特征等技术，导致识别控制困难。

　　1.2 传统P2P应用识别与控制方法

　　到目前为止传统的P2P应用识别与控制方法主要有如下四类：

　　第一类技术：利用端口进行P2P流量识别即对各种P2P软件的相应流量进行研究，并归纳出常用的一个或多个固定端口(如KuGoo软件通用的商业端口是7000)。然后在流量检测过程中，一旦发现有流量的端日与已归纳出的端口相同，就可以确定该流量属于P2P流量，并属于某一种P2P软件引。但是对于利用端口识别P2P流量，现在大多数P2P软件都不再使用固定端口，或使用动态端口，或在软件中设有端口设置功能供用户自行设置端口，甚至有的P2P软件使用8O等其它业务的固定端口号，以欺骗流量检测设备。