编者按：“研究信息安全技术，应用保障系统安全！”本期《技术

技术研究信息安全技术 研究与应用》栏目继续围绕前面《理论探讨》中关于网络安全的话题，

全 从技术研究与应用角度．向读者介绍网络安全中关于Ｐ２Ｐ网络如何实现流

量控制、ｕＴＭ技术如何实现网络的综合防御、数据挖掘技术如何在入侵

检测中的应用，以及数字签名技术在电子文档可信显示等内容。

【摘要】本文介绍了Ｐ２ｐ应用及其

利用Ｎｅｔ６ｌｔｅｒ框架和 优缺点．对Ｌｉｎｕｘ内核的Ｎｅｔｎｌｔｅｒ／
ＩｐｃａｂＩｅｓ技术和带宽控制技术进行了
分析，分析Ｐ２Ｐ协议并提出一套完善
的识别方法。

ＴＣ实现Ｐ２Ｐ流量控制 【关键词】Ｐ２Ｐ ＮｅｔｆｊＩｔｅｒ带宽控制

ｌＤｔａｂＩｅｓ

一苏州大学计算机科学与技术学院张卿陆晓峰冀缫蓊鬻豢囊骥纛凌黪嚣霪鬻翳鬃羹鬻黝

１引言 ３ Ｌｉｎｕｘ内核的带宽控制技术
Ｐ２Ｐ是ｐｅｅｒ＿ｔｐｐｅｅｒ的缩写，称之为对等联网。ＩＢＭ对Ｐ２Ｐ的 Ｌｉｎｕｘ从Ｋｅｍｅｌ ２．１．１０ｓ就开始支持Ｑｏｓ，既Ｌｉｎｕｘ内核本身已

定义是：Ｐ２Ｐ系统由若干互联协作的汁算机构成，且至少具有如 经提供了相当完整和强大的带宽管理代码［３Ｊ。Ｌｉｎｕｘ主要使用路
下特征之一：系统依存于边缘化（非中央式服务器）设备的主动协 由工具包（ＩＰＲｏｕＴＥ２）的流量控制命令（Ｔｒａｍｃ ｃｏｎｔｒｏｌ ｃｏｍｍａｎｄ）

作，每个成员直接从其他成员而非服务器的参与中受益；系统 来进行带宽控制。流量控制模块在概念上可以划分为３部分：队

中成员同时扮演服务器与客户端的角色；系统应用的用户能够意 列策略（Ｑｕｅｕｅ Ｄｉｓｃｉｐｌｉｎｅ）、分类（ｃｌ勰ｓｅｓ）和过滤（ｆｉｌｔｅｒｓ）。其中每一

识到彼此的存在，构成一个虚拟或实际的群体。简单的ｉ兑，Ｐ２Ｐ 个嘲络设备（如以太网卡ｅｔｈｏ）都与一个队列策略相关，队列策略

直接将人们联系起来，让人们通过互联网直接交互。由于Ｐ２Ｐ应 控制数据报在这个网络设备上怎样来排队，例如，ｓｃｈ－ｆｉｆｏ是一
用不依赖于某个具体的服务器，传统的网络管理方法显得力不从 个最简单的队列策略，它只有—个队列，所有分组都按其到达的

心，因此对Ｐ２Ｐ应用的监控与管理变得尤为重要。 顺序来排列。更加复杂的队列策略可能会使用过滤来区分不同类

２ Ｎｅｔｆ－Ｉｔｅｒ框架与ｌｐｔａｂＩｅｓ技术 别的数据报，并对其分别处理。
数据报通常按下面的原则来处理：当一个队列策略的排队
Ｎｅｔｆｉｌｔｅｒ提供了一个抽象、通用化的框架，该框架定义的一
个子功能的实现就是包过滤子系统【２】。ｎｅｔｆｉｌｔｅｆ为每种网络协议 函数被调用时，它将在系统中寻找一个与自己相匹配的过滤，然

（ＩＰｖ４、ＩＰｖ６等）定义一套钩子函数（ＩＰｖ４定义了５个钩子函数）， 后用这个过滤将数据报分成对应的分类。而那些没有相应过滤的

这些钩子函数在数据报流过协议栈的几个关键点被调用。一个 数据报，就被系统划分到默认的分类中去。

数据包通过玎ｅｔｆｉｌｔｅｒ框架时，它将经过如图ｌ所示流程。数据包选 ４ Ｐ２Ｐ协议的识别
择工具Ｉｐｔａｂｌｅｓ也称为用户空问，是具有可扩展性的规则配置工 要实现对Ｐ２Ｐ应用的管理，必须先识别哪些是Ｐ２Ｐ数据流。

具。Ｎｅｔｆｉｌｔｅｒ框架提供了一系列的表，每个表由若干个链组成， 哪些不是。目前很多的Ｐ２Ｐ应用软件都是开放源代码的，我们可
而每条链中可以由一条或多条规则组成。那么Ｎｅｔｆｉｌｔｅｒ是表的容 以很方便的知道它们所使用的协议，而另外一些则可以通过抓取

器，表是链的容器，而链又是规则的容器，ＩｐｔａｂＩｅｓ则是对这些 数据包来分析它们的协议。表１列举了部分Ｐ２Ｐ应用程序及其特

规则进行操作的工具。 征码。
Ｐ２Ｐ下载工具凭借其速度上的优势，已经完全替代了原先的
Ｆｔｐ下载工具，迅雷，网际快车等传统下载工具也开始加入Ｐ２呦
能。但嘲络上各种各样的Ｐ２Ｐ下载工具基本上都是参照ＢｉｔＴｏⅡｅｍ
等开放源码的Ｐ２旺具，在协议上大同小异，此处不在赘述。但
也有些软件比如迅雷，它的数据经过加密处理，不容易简单识
别。

　
 衰１都分Ｐ２Ｐ应用程序厦其特征码 查ｕｄｐ类型数据包
ｌ应用程序 特征码 备注 ｒｅｔＩｌｍ ｐ２ｐ—ｒｅｓｕｌｔ；
ｏ糖３ ｏ坤４／ｏｘ９６ 第１．２十宇节
ｅＤｏｎｋｅｙ
）
ｅ‰ｌｅ ｏｘｃ５ ｏ）【９ｌ／ｏｘ９２，ｏｘ９３ 第１．２个字节
ｄｅ厶ｕｌｔ：ｒｅｔｔｌｍ ０：
Ｋａｄ ｏｘｅ｛ｏｘ５０／ｏ）【５９ 第ｌ，２十字节

【Ｇｎｕｔｅｌｌ＆ ＧＨｕＴＥＬＬ＾或Ｇ帅 明文检查

）
Ｋａｚ“ 鼬ｚ“ ・明文检查

卜ｍｅｘ
ＢｎＴｏｒｒｅｎｔ
ｘｘｘ一～圳ｏｏｏ冀嚣篡淼茹：嚣
ｏｘｌ３ ＢｉｔＴｏｒｒｅｎｔ ｐｒｏｔｏｃｏｌ 第ｌ十字节加明文捡叠
）

５．２为ｉｐｔａｂＩｅｓ添加命令行匹配
咖眦Ｋ＾叫ｎＰｅⅢｐｒｏｔｏｃ０１ 明文捡蕾

百度下吧 ８ＢｉｄｕＰ２Ｐ 明文检查 用户使用Ｉｐｔａｂｌｅｓ命令行实现对内核ｎｅｔｆｉｌｔｅｒ的具体操作，为

＾ｒ鲒
ＰｕｓＨ ｓｌＩ＾１： 明文检壹 了添加新的命令行匹配选项我们需要调用函数ｒｅｇｉｓｔｅＬｍａｔｃｈ来进
行注册，它的入口参数为结构ｉｐｔａｂｌｅｓｊｎａｔｃｈ，包含以下主要成

５利用Ｎｅｔｆｍｅｒ框架和ＴＣ实现Ｐ２Ｐ流量控制 员：

５．１在Ｎｅ删ｔｅｒ中构造新的匹配函数 （１）ｓｔｍｃｔ ｉｐｔａｂｌｅｓ ｍａｔｃｈ★ｎｅｘｔ；Ｍａｔｃｈ链，初始为ＮＩ几Ｌ

（２）ｉｐＬｃｈａｉｎｈｂｅｌ ｎａｍｅ：Ｍａｔｃｈ名，和核心模块加载类似
在ｌｉｎｕｘ２．６内核中，利用Ｎｅｔｆｉｌｔｅｒ框架的ｉｐｔａｂｌｅｓ技术必须先
（３）ｃｏｎｓｔ ｃｌｌａｒ★ｖｅ巧ｉｏｎ；版本信息
向内核注册自己定义的处理函数：ｉｎｔ ｉｐｔ＿ｆｅｇｉｓｔｅｒ＿ｍａｔｃｈ（ｓｔｒｕｃｔ
（４）ｓｉｚｅ』ｓｉｚｅ；Ｍａｔｃｈ数据的大小，必须用ＩＰＴ ＡＩ，ＩＧＮ０宏指定
ｉｐＬｍａｔｃｈ＋咖他ｈ）；注销时使用函数Ｖｏｉｄ ｉｐＬ．ｕｎｒｅｇｉｓｔｅｒ＿ｍａｔｃｈ（ｓｔｍｃｔ
对界
ｉｐＬｍａｔｃｈ｝ｍａｔｃｈ）。这两个函数的核心是ｓｔｍｃｔ ｉｐＬｍａｔｃｈ结构，
它有如下成员： （５）ｓｉｚｔ』ｕｓｅ“ｐａｃｅｓｉｚｅ；由于内核可能修改某些域，因此ｓｉｚｅ可
能与确切的用户数据不同，这时就应该把不会被改变的数据放在
（１）ｓｔｒｕｃｔ ｌｉｓｔ．Ｊｌｅａｄ ｌｉｓｔ。初始化为｛ＮｕＬＬ，ＮｕＬＬ），由核心使

用
数据区的前面部分，而这里就应该填写被改变的数据区大小；一

ｎ抛ｅ【Ｉ】’Ｔ＿ＦｕＮｃＴＩｏＮｊⅥ＆》（］ＮＡＭ【ＥＬＥＮ一１】。 般来说，这个值和ｓｉｚｅ相同
（２）ｃｏＩｌＳｔ ｃｈａｒ

Ｍａｔｃｈ的名字，该名称必须和模块的名称相匹配 （６）ｖｏｉｄ（★ｈｅｌｐ）Ｏ；当ｉｐｔａｂｌｅｓ要求显示当前ｍａｔｃｈ的信息时，就
会调用这个函数
（３）ｕｊｎｔ８ｊ ｆｅｖｉｓｉｏｎ。

（４）ｉｎｔ（★ｍａｔｃｈ）Ｏ。指向具体匹配函数的指针，返回非。表示 （７）ｖｏｉｄ（＋ｉｎｉｔ）Ｏ；初始化，在ｐａＢｅ之前调用

匹配 （８）ｉｎｔ（★ｐａｒｓｅ）Ｏ；扫描并接收本ｍａｔｃｈ的命令行参数，正确接
收时返回非Ｏ
（５）ｉｎｔ（★ｃｈｅｃｋ ｅｎｔｒｙ）Ｏ。在使用本Ｍａｔｃｈ的规则注入表中之前

调用，进行有效性检查，如果返回ｏ，规则不会加入到ｉｐｔａｂｋｓ中 （９）ｖｏｉｄ（★６ｎａＬｃｈｅｃｋ）Ｏ；当命令行参数全部处理完毕以后调
用。如果不正确，应该退出
（６）ｉｐｔａｂｌｅｓ ｖｏｉｄ（★ｄｅｓｔｒｏｙ）Ｏ。在包含本Ｍａｔｃｈ的规则从表中删

除时调用，于ｃｈｅｃｋｅｎｔｒｙ配合可用于动态内存分配和释放。 （１∞ｖｏｉｄ（★ｐｒｉｎｔ）Ｏ；当查询当前表中的规则时，显示使用了当
前ｎｌａｔｃｈ的规则的额外的信息
（７）ｓｔｍｃｔ ｍｏｄｕｌｅ★ｍｅ。表示当前Ｍ３ｔｃｈ是否为模块（ＮｕＬＬ为

否） （１１）ｖｏｉｄ（★ｓａｖｅ）Ｏ；按照ｐａｒ！；ｅ允许的格式将本ｍａｔｃｈ的命令行参
数输出到标准输出
完成注册之后，主要的工作便是在ｍａｔｃｈ函数中过滤网
Ｉｐｔａｂｌｅｓ将命令行输入转换为程序可读的格式，然后在调
络数据包并判断是否为Ｐ２Ｐ数据包。部分关键代码如下：
用ｌｉｂｉｐｔｃ库提供的ｉｐｔｃ＿ｃｏｍｍｉｔ（）函数向内核提交该操作请求。
ｓｔａｔｉｃ ｉｎｔ ｍａｔｃｈ（ｃｏｎｓｔ ｓｔｍｃｔ ｓｌ‘—ｂｕ伍★ｓｋｂ，ｃｏｎｓｔ ｓｔｍｃｔ ｎｅｔ—ｄｅ访ｃｅ
★ｉｎ，ｃｏｎｓｔ ｓｔｒｕｃｔ ｎｅＬ＿ｄｅｖｉｃｅ★ｏｕｔ，ｃｏｎｓｔ ｖｏｉｄ★ｍａｔｃｈｉｎｆｏ，ｉｎｔ ｏｆ豫ｅｔ，
在ｌｉｂｉｐｔｃ，ｌｉｂｉｐｔｃ．ｃ中定义了ｉｐｔｅ＿ｃｏｍｍｉｎｔ（），它根据请求设置了

ｕＩｌＳｉｇｎｅｄ ｉｍ ｐｍｔｏ匮ｉｎｔ★ｈｏｔｄｒｏｐ） —个ｓｔｒｕｃｔ ｉｐｕｅｐｌａｃｅ结构，用来描述规则所涉及的表（ｆｉｌｔｅｒ）和

｛ Ｈ００Ｋ点（ＦＯＲｗＡＲＤ）等信息，并在其后附接当前这条规则的一
ｓｗｉｔｃｈ（ｉｐ一＞ｐｒｏｔｏｃ０１） 个ｓｔｒｕｃｔ ｉｐＬ－ｅｎｔｒｙ结构。组织好这些数据后，ｉｐｔｃ＿ｃｏｍｍｉｔ（）调用
｛ ｓｅｔｓｏｃｋｏｐｔ（）系统调用来启动核心处理该请求。
ｃａｓｅ ＩＰＰＲｏＴｏ—－ＴＣＰ：
５．３使用ＴＣ命令实现对Ｐ２Ｐ数据的流量控制
｛
在实现了对Ｐ２Ｐ数据包的识别之后，我们就可以通过ｌｉｎｕｘ的
ｐ２ｐ－ｒｅｓｕｌｔ＝ｐ２ｐ—．ｐａｒＳｅ．－ｔ‘Ｐ（ｓｋｂ）；／／检
查ｔｃｐ类型数据包 带宽控制工具Ｔｃ来实现对Ｐ２Ｐ应用的流量控制，将命令写成脚本
ｒｅｔＩｌｍ ｐ２ｐ—ｒｅｓｕｌｔ； 文件在系统启动时自动加载。其中关键的命令如下：

） ｔｃ ａｄｉｓｃ ａｄｄ ｄｅｖ ｅｔｈｌ ｍｏｔ ｈａｎｄｌｅ ２０：ｈｔｂ ｄｅ＆ｕｌｔ ２０／／定义新建

ｃ瓠ｅ ＩＰＰＲｏＴｏ—ＵＤＰ： 下载最顶层根用户规则

｛ ｔｃ ｃｌ∞ｓ ａｄｄ ｄｅｖ ｅｔｈｌ ｐａｒｅｎｔ ２０：ｃｌａｓｓｉｄ ２０：１ ｈｔｂ ｎｔｅ ９４０００ｋｂｐｓ

ｐ２ｐ』ｅｓｕｌｔ＝ｐ２ｐ—ｐａＢｅ—ｕｄｐ（ｓｋｂ）；／／检 ｃｅｉｌ ９４００００ｋｂ臼ｓ／／定义１ｆ）：１总下栽带宽９４Ｍ

　
 ｔｃ ｃｌａｓｓ ａｄｄ ｄｅｖ ｅｔｈｌ ｐａｒｅｎｔ ２０：１ ｃｈＳｓｉｄ ２０：１０ ｈｔｂ ｒａｔｅ ４０ｋｂｐｓ 时准确的发现常用Ｐ２Ｐ应用的数据包如ＢｉｔＴｏｒｒｅｎｔ、ｅＭｕｌｅ，
ｃｅｉｌ １００ｋｂｐｓ ｐｒｉｏ ｏ／／建立一个通道，最小保证带宽４０Ｋ，最大占 Ｂｉｔｃｏｍｅｔ等；另一方面可以将上述Ｐ２Ｐ应用的下载速度很好的控
用带宽１００Ｋ。 制在用户设定的允许值之内。利用Ｌｉｎｕｘ的带宽控制技术可以为

忙ｑｄｉｓｃ ａｄｄ ｄｅｖ ｅｃｈｌ ｐａｒｅｎｔ ２０：１０ ｈａｎｄｌｃ ２０１：ｐ丘ｆｏ 内网用户设定不同的优先级，将该系统安置在路由器之上，可以

ｔｃ ６ｌｔｅｒ ａｄｄ ｄｅｖ ｅｔＩｌｌ ｐａｒｅｎｔ ２０：ｐｒｏｔｏｃｏｌ ｉｐ ｐｒｉｏ １００ ｈａｎｄｌｅ ２０ｌＯ 有效的监控和管理内网用户的Ｐ２Ｐ流量，实现流量均衡。簟
鼬ｃｌａｓｓｉｄ ２０：１０／／建立队列策略和过滤 （责编 张岩）
ｉｐｔａｂｌｅｓ—Ｆ—ｔ Ｉｍｎｄｅ

／ｓｂｉｎ／ｉｐｔａｂｌｅｓ—ｔ ｍａｎｇｌｅ—Ａ ＰｏＳＴＲｏＵＴＩＮＧ—ｍ ｉｐ２ｐ

一一ｅｄｋ—ｋａｚａａ—ｂｉｔ—ｉ Ｍ ＡＲ Ｋ一一ｓｅｔ—ｍａｆｋ ２０１０将ｅｄｋ，ｋａｚａａ和ｂｉｔ应

用的数据打上标记并丢到相应的通道里。

６结论
通过实验该控制系统达到了预期的目标，一方面可以及

１引言 各种后门和跳板的特洛伊木马、利用大 为防火墙主要有三个作用：一是防ＤＯＳ

随着网络安全威胁逐步呈现出复杂 量傀儡主机进行淹没式破坏的ＤＤｏｓ攻击 攻击，二是策略控制，三是地址转换。
化的趋势，单一的安全技术已不能满足复 以及网络资源的滥用和非授权访问等。 作为一个基础的安全策略，防火墙必不
杂网络综合性防御的需要。因而，以整 这些恶意行为在嘲络上肆意泛滥，使得 可少，而且防火墙技术已经相当成熟，
合式安全技术为代表的ｕＴＭ技术有着越 计算机网络面ｌｌ缶的安全困境远超从前。 但这对于安全来ｉ兑远远不够。防火墙只
来越广泛的应用。ｕＴＭ即ｕｎｉｆｉｅｄ Ｔｈｒｅａｔ ２．２网络综合防御的重要性。安全 能对非法｝方问通信进行过滤，对每一个
Ｍａｎａｇｅｍｅｎｔ，它是由硬件、软件和网络 问题是网络建设与管理中首先要考虑的 数据包进行检查，它不具备检查包负载
技术组成的具有专『Ｊ用途的设备，主要提 问题。一般来说，要保护好蚓络内部安 的能力，因而病毒、蠕虫、木马和其它
供一项或多项安全功能；它将多种安全特 全和边界安全，这就需要考虑到安全的 恶意应用程序就能未经检查而通过。并
性集成于一个硬件没备里，构成一个标准 深度和广度。深度就是要保护到什么程 且，当攻击者将攻击负载拆分到多个分
的统一管理平台（ＩＤｃ定义）。 度，广度就是要保护到什么样的范围， 段的数据包里，并将它们打乱顺序发出
２ ＵＴＭ发展的必然 是覆盖全部网络还是做到关键部位保 时，即使功能较强的深度包检测防火墙
２．１信息安全威胁的网络化和复杂 护。所以，要考虑好网络的综合防御， 往往也会失效。这就需要另一种重要的

化。随着Ｉｎｔｅｒｎｅｔ、Ｉｎｔｒａｎｅｔ的飞速发展， 做到全方位深入的保护。 网络安全没备ｌＰｓ，它可以做一些高层次

网络安全问题日益严重，基于网络的信 ２．３单一网络安全产品的局限性。 的防护，如拦截掉大部分蠕虫等。但是

息系统面临着多种威胁，如通过系统漏 针对某种安全问题，都有相应的安全防 ＩＰｓ也不是一个终极安全目标，还有防病

洞自动化攻击并繁殖的蠕虫病毒、提供 护技术。最普遍的就是防火墙技术。作 毒、反垃圾邮件等安全措施互为补充。