五、实验方案设计及实现；5．1流量控制系统总体设计；前面章节中分析了Netfilter防火墙框架以及；图4Netfilter在IPv4中的结构；5.2带宽管理的实现；Linux操作系统目前广泛引用于路由设备中，流量；5.2.1队列规定；我们可以在队列规定当中设置一个允许的最大速率，也；流量管理主要由qdisc(队列规定)class(；分类的队列规定主要用在多
五、实验方案设计及实现
5．1流量控制系统总体设计
前面章节中分析了Netfilter防火墙框架以及包选择工具Iptables，知道了在Linux内核中有一套强大的防火墙框架Netfilter。但是传统的P2P检测和控制工具主要是对通过基于数据包的端口等进行过滤，从而达到监视网络流量的目的。仅仅是对协议包的包头进行检测而缺乏对数据包内容的检测，这种检测方法的缺陷是缺少对应用层流量的分析，使对协议的分析不够全面，很多时候就很难分辨出正常的HTTP流量和P2P下载的流量区别。为此我们需要开发出一个能够应用层上对流量进行识别和分类的工具。系统的工作流程图如图4所示：
图4 Netfilter在IPv4中的结构
5.2 带宽管理的实现
Linux操作系统目前广泛引用于路由设备中，流量管理是它一个重要功能∞71，由于在前面我们已经实现了P2P的流量完全禁止，我们现在就要实现将P2P流量控制在某一个范围内的确功能。为了达到这个目的，我们就必须将前面用到的Linux的内核防火墙框架与Linux的流量整形工具tc相结合，实现对网络内部的带宽管理。
5.2.1 队列规定
我们可以在队列规定当中设置一个允许的最大速率，也就是说通过固定能传输的数据的多少来对流量进行整形。流量整形时传输的速率就被控制在一个范围内，若超出范围则采取延迟或丢包的策略口。
流量管理主要由qdisc(队列规定)class(类别)和filter(过滤器)三种对象控制。
分类的队列规定主要用在多种数据流需要进行区别对待的时候。当数据包进入我们开发的分类器的时候，就被送到设置的队列规定当中。队列中的一些规定是根据整形的分类机制来确定的，数据进入分类器后，会寻找一个符合自己的队列规则。数据寻找到自己的大类之后，又会根据队列规则选择一些小类。分类器就是用来设置一些分类规则的。当所有的分类都完成的时候，也就是说网络中的数据包已经找不到更细微的队列规定的时候，数据包就会进入合适自己的队列进行流量整形。在队列中还学要对队列进行调度，这种调度主要在流量控制中用的比较多。
在本文中主要使用了两种队列规定：
HTB(Hierarchical Token Bucket，分层的令牌桶)：这种队列规定主要是使用在针对不同的用途来进行分配。由于这种规定在程序使用上的函数非常少，所以配置起来相对比较简单，所以在运用上比较广泛，尤其是在流量整形中利用的非常频繁。
SF0(Stochastic Fairness Queueing，随机公平队列)：随机公平队列使用的是一种公平性的算法，这种队列规定是在非常公平的环境下进行的，这种队列规定的主要优点是在计算的时候的计算机量非常少，但是相比其它的队列算法，精确度不是很高。
Linux流量控制机制
图5描述了Linux内核进行数据包调度的流程。
图5 Linux系统的流量管理机制
图中整个大方框表示整个内核。最左面的箭头表示从网络接口进入机器的数据包。可能被丢弃的过滤器的一些数据要求进入队列。如果包被发送到相应的进程和区域的流量，如果数据包经过并提交本地进程。中继器都必须送交出口。进程发送数据的出口本地分类。
在数据在网络上的流动过程中，一些排队的数据可提供队列中排队。没有任何设置，只要求疏散队列的数据包并总是在是接收。数据包队列中，我们有队列规定来处理等待发送的网路卡的核心。在上面的箭头代表的不了所有上述情况，但这一计划，如果该卡是说明这是一台机器，每个网卡有自己的进口和出口。在入口和出口处我们设置所需要的队列规定来规定队列的流向，在转发本地进程是数据不从入口流出，数据流过整个系统时会会在网卡的出口处进行流量整形。上图中没有考虑两块网卡的情况。
Linux中的队列规定是附带在网卡上的，所有在这个网卡上排队的数据都排进这个队列的规定。这样就出现了如下的两个问题：
(1)仅仅只能简单的进行出口整形。
(2)由于只有整个系统上只有一个网卡，无法对全局的限速进行设置。
IMQ(Intermediate queueing device，中介队列设备)从根本上来说不是一个队列规定，但是IMQ的使用和队列规定是有着密切联系的。它把网络中的上行和下行流量进行分类控制。Iptables的IMQ处的语法是：IMQ[一todev n]，n是imq设备的编号。网络上的数据会流入到中介队列设备的哪个位置，是根据数据的流向来决定的。
5.2.3 流量管理功能的设计
带宽管理设备的基本网络结构如图6所示。
图6.网络拓扑结构
在整个系统中首先利用imq进行入口整形进行入口整形，而且需要区别对待 上行和下行这两种流量，然后利用包选择工具来给数据包打上标记，使数据能准 确无误的分类。最后，每个节点的附加到网络上的另一个节点上，然后下面的另 外一个队列到另一个队列随机公正，确保公平使用的平均带宽，以避免带宽被强
在流量控制的工作完成之后，数据包进入网卡后首先是进行的包处理工作， 随后对流量进行整形操作，最后实现网络地址的转换。我们如果需要实现整个系 统的流量控制功能，还需要在PREROUTING链上做一些扩展。
六、结论与展望
随着网络技术的不断发展尤其是P2P技术的广泛应用，在让用户体验到飞一般的速度的同时也给网络带来了巨大的压力，加上现在P2P软件都使用了动态端口，或者是伪装P2P流量，使得传统的网络流量检测和控制工具很难对其进行检测和控制。
本文主要传统的流量检测和控制工具中存在的缺陷，对Linux系统防火墙框架Netfi l ter／Iptables进行扩展，通过包选择工具Iptables设置一些过滤规则，将流量控制完全禁止，或者是结合Linux流量整形工具，将流量控制到网络管理员所要求的范围之内。作者首先通过一些抓包软件进行抓包测试，通过得到的数据包并参照一些权威的P2P网站来P2P协议进行分析，然后通过分析和扩展Linux 2．4内核防火墙框架，设置合适的防火墙过滤规则来对P2P流量进行控制，此外还对P2P流量识别进行了测试以保证识别准确无误的进行，最后结合流量管理对P2P流量进行控制。对网络资源进行合理分配，从而达到提高网络性能的目的。本文开发的基于Linux内核模块的P2P流量控制系统，可以完成以下功能：
(1)可以比较准确的分析出网络中存在的P2P流量，统计网内各种流量的分布情况。
(2)完全禁止网络内P2P下载流量。
(3)根据网络需求P2P下载流量控制到某一范围内，保证关键性业务有足够带宽。
总之，本文开发的基于1inux内核模块的P2P流量控制系统对网络中的P2P流量提供了很好的识别及控制机制，让网络管理员可以充分非常方便的对网络内的流量进行管理，合理分配网络中资源。同时，本文也存在着一些有待改进的地方，有待在今后的工作和研究中不断的完善：
(1)本文的测试对象主要是在目前使用比较广泛的几种P2P协议及他们的客户端程序，但是随着网络技术的发展，将会有更多的新的P2P协议的诞生，同时老的P2P协议内容在不断更新，就需要加入动态的扩展。
(2)P2P协议发展趋势是采用加密和SSL传输数据或文件。本文的识别方法对于加密后的协议在识别上存在一定的困难，如何对加密后的数据包进行识别，是以后需要解决的问题。
(3)本文开发的P2P流量控制系统没有一个方便用户配置的图形用户接口，用户接口是采用的是命令行方式，今后应该开发出一个图形用户接口，能够使非专业的普通用户使用起来更加方便。
在今后的工作中，除了对上述已经完成的功能做进一步加强之外，还需要对完善整个系统中不足的地方，将整个系统的功能和性能上做到进一步的优化。
[1]程学旗，余志华，陆天波等．P2P技术与信息安全[J]．中国科学院计算技术研究所．
[2]李晓峰，张玉清，李星．Linux 2．4内核防火墙底层结构分析[J]．计算机工程与应用。―144
[3]孔彬，徐良贤．BitTorrent原理分析及改进[J]．计算机工程，2004(S1)．
[4]杨刚，陈蜀宇．Linux中基于Netfilter／Iptables的防火墙研究[J]．计算机工程与设计，2007(17)．
[5] 邱桔，韦理丽．Linux下包过滤防火墙的设计与实现．计算机工程与设计[J]，2006(13)．
[6] 邹玲，石坚．现代IP网络QoS路由技术[J]．计算机科学，2002(04)．
[7]林风，LINUX2．4．X网络安全框架[EB／0L]．
[8] 李惠娟，王汝传，任勋益．基于Netfilter的数据包捕获技术研究[J]．计算机科学，2007(06)．
[9] 陆国栋．对网络OoS中拥塞控制的研究[J]．电信科学，2007(05)．
三亿文库包含各类专业文献、应用写作文书、高等教育、行业资料、幼儿教育、小学教育、中学教育、文学作品欣赏、外语学习资料、72基于Linux内核扩展模块的P2P流量控制研究等内容。　
　LINUX内核模块编译步骤_IT/计算机_专业资料。LINUX 内核模块编译步骤
10:51 本文是基于 2.6 的内核,也建议各位可以先看一下《Linux 内核设计与实现... 　实验一:Linux 内核模块的添加(一)静态加载: 把组件都 添加进 内核文件中,在目录 kongfig 文件 中增加新代码对应的编译选项,在 Makefile 文件中添加编译条 目。... 　前言 linux 内核中提供了流量控制的相关处理功能,...*/ rtnl_unlock(); // 加载模块 request_module(...(priority) PRIO 是 PFIFO_FAST 算法的扩展, PFIFO... 　Linux内核模块使用指南_IT/计算机_专业资料。Linux 内核模块使用指南 一、模块简介...过可能不太容易扩展和移植 (后半段说得太省, 不知道作者有没有真的研究过 ... 　linux内核模块管理命令_IT/计算机_专业资料。linux内核模块管理命令1. lsmod 列出已经加载的内核模块 lsmod 是列出目前系统中已加载的模块的名称及大小等;另外我们还... 　linux内核模块开发案例讲解_计算机软件及应用_IT/计算机_专业资料。很好很实用Linux 内核模块开发之 Hello world
23:39:55| 分类: 计算机|举报|字号 ... 　禁止Linux开机自动加载某个内核模块的方法zz_计算机软件及应用_IT/计算机_专业资料。禁止Linux开机自动加载某个内核模块的方法zz禁止Linux 开机自动加载某个内核模块的... 　linux内核配置模块编译安装_计算机软件及应用_IT/计算机_专业资料。如题 Linux 内核配置编译和加载 Linux 内核模块 Linux 内核结构非常庞大, 包含的组件也非常多, ... 　就 Linux 操 作系统各功能方面进行模拟或实现 二.任务描述编写 proc 文件系统相关的内核模块: 设计一个模块, 该模块功能是列出系统中所有内核线程的程序名、 PID...503 Service Temporarily Unavailable
503 Service Temporarily Unavailable
openresty/1.9.7.4新手园地& & & 硬件问题Linux系统管理Linux网络问题Linux环境编程Linux桌面系统国产LinuxBSD& & & BSD文档中心AIX& & & 新手入门& & & AIX文档中心& & & 资源下载& & & Power高级应用& & & IBM存储AS400Solaris& & & Solaris文档中心HP-UX& & & HP文档中心SCO UNIX& & & SCO文档中心互操作专区IRIXTru64 UNIXMac OS X门户网站运维集群和高可用服务器应用监控和防护虚拟化技术架构设计行业应用和管理服务器及硬件技术& & & 服务器资源下载云计算& & & 云计算文档中心& & & 云计算业界& & & 云计算资源下载存储备份& & & 存储文档中心& & & 存储业界& & & 存储资源下载& & & Symantec技术交流区安全技术网络技术& & & 网络技术文档中心C/C++& & & GUI编程& & & Functional编程内核源码& & & 内核问题移动开发& & & 移动开发技术资料ShellPerlJava& & & Java文档中心PHP& & & php文档中心Python& & & Python文档中心RubyCPU与编译器嵌入式开发驱动开发Web开发VoIP开发技术MySQL& & & MySQL文档中心SybaseOraclePostgreSQLDB2Informix数据仓库与数据挖掘NoSQL技术IT业界新闻与评论IT职业生涯& & & 猎头招聘IT图书与评论& & & CU技术图书大系& & & Linux书友会二手交易下载共享Linux文档专区IT培训与认证& & & 培训交流& & & 认证培训清茶斋投资理财运动地带快乐数码摄影& & & 摄影器材& & & 摄影比赛专区IT爱车族旅游天下站务交流版主会议室博客SNS站务交流区CU活动专区& & & Power活动专区& & & 拍卖交流区频道交流区
白手起家, 积分 87, 距离下一级还需 113 积分
论坛徽章:0
公司内部要控制用户端的流量，，主要是封杀P2P等7层协议，，老板说用F5 ， 这不是负载均衡设备吗？公司并没有服务器发布到外网啊，，另&&F5可以实现在内网封杀P2P流量吗？？
&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp
白手起家, 积分 6, 距离下一级还需 194 积分
论坛徽章:0
& & 可以做控制&&不是所有人都接触过F5&&具体查资料介绍
论坛徽章:4
没用过这东西，你可以查查手册看看
家境小康, 积分 1171, 距离下一级还需 829 积分
论坛徽章:0
freebsd+panabit貌似不错
白手起家, 积分 39, 距离下一级还需 161 积分
论坛徽章:0
[智能P2P防火墙网关]P2P流量控制新技术
本方案基于超级稳定LINUX内核的软路由器，采用独家研发的新技术解决了目前网络中的P2P流量难以限速的问题。由于UDP协议没有流量控制拥塞控制机制，没有滑动窗口，传统的网关根本无法阻止别人的UDP流发包速度，所以只要内网中有人使用P2P性质的影音软件，你的外网线路带宽就经常被莫明其妙的占满！即使你在路由网关上做了QOS限速策略依然如此。对于网吧而言，玩网络游戏的人就感觉卡顿，对于企业而言，正常的上网连接就会受到影响甚至断开。目前市场上的大多数路由器都是采用应用层L7协议识别阻断技术来过滤P2P流，但效率低，还要经常更新，累！本方案从UDP协议建立P2P连接的原理上出发，智能识别客户机发起的点对点连接请求，从根本上阻止了P2P软件的内网穿透。本P2P流量控制模块CPU占用率极低，几乎可以忽略不计。本软路由对于目前流行的酷狗、QQ音乐、百度影音、QVOD、PPSTREAM、网络电视直播等主要使用UDP协议传输数据流的P2P软件有奇效，并不是说这些软件都不工作了，只是有时它们会自动跳变为TCP协议工作。TCP协议是完全可以通过传统的限速方法控制的。
欢迎来电联系我订做软路由，TEL： QQ：&&深圳客户可以上门服务，为你排忧解难。本方案安装实施简单，只要将GHOST包全盘克隆到你的软路由机器硬盘即可，免安装过程，开机后进入后台WEB管理界面可修改设置网络参数。本系统没有使用时间限制，一次购买，永久使用，无后门无安全隐患，敬请放心。基于特征字符串匹配的P2P流量控制　
　　摘要:简述P2P的发展,分析P2P流量对主干网络的带宽占用问题及其危害,提出了两种采用Iptables扩展包基于特征字符串匹配限制P2P流量(特别是Bt、eDonkey流量)的有效方法,并比较、分析其应用效果。
　　关键词:P2P;流量控制;特征字符串
　　1 引言
　　传统的互联网架构基于客户端/服务器模式,以服务器为中心,所有资源存放于服务器,使用者作为客户端通过网络连到服务器上检索、下载或请求运算等。在这种架构下,受限于服务器节点性能及网络带宽瓶颈,越来越多地网络使用者愈来愈难以忍受不断下降的网络下载速度,大家都期待一种能够加速网络访问的技术和方法。P2P技术的出现正好满足了人们迫切的需求,它的思想是:整个网络结构中不存在中心节点(或中心服务器),每一个节点同时具有信息接收、信息提供和信息通信的功能,每个节点具有相同的权利和义务。
　　据相关资料统计,现在ISP主干网络中不同时段有40%~70%的网络流量被P2P通信占据,夜间所占比例相对更高,这与许多P2P用户长时间在线的特点相吻合。
　　由于P2P通信流量占据Internet网络的绝大部分,它对当前网络应用产生了巨大的影响:导致异常的流量峰值;所带来的网络拥塞、性能下降等问题,已影响到其他关键业务的正常使用;音乐、软件、电影等版权资料的随意下载、传播而产生的法律诉讼等。于此,必须正视P2P导致的相关问题,采取有效措施减小影响。
　　2 常用解决方法
　　从技术角度而言,若要控制P2P通信,就必须对其通信方式进行有效地识别并采取相应措施。传统的解决方法有:基于IP地址、端口的识别方法;基于会话(session)的识别;基于流量统计的识别等。
　　IP地址识别可以区别出第一代集中式P2P的目录服务器和第二代混合式P2P中的超级站(SuperNode /SuperPeer),以及某些恶意的P2P用户,但是对于第三代以及第四代P2P软件,由于它们没有固定的目录服务器或者SuperNode,IP地址识别对此无能为力。
　　端口识别技术可以辨认出基于固定端口的P2P应用(如Bt通信的端口),以及探测出未知端口,运用这种方法可以采用封锁所有端口,然后开放相关应用端口的策略,但是这种方法灵活性较差,不能满足给予动态端口的应用需求,也不能适应当前日益增加的各种应用。
　　基于会话(session)的状态识别,由于P2P通信具有长时间连接的特点,而其它典型应用一般连接时间较短,可以根据会话建立的时间长度来识别,但是这种方法的有效性较低,不能单独使用。
　　流统计状态的识别在IP层通过统计流量特征的方式识别P2P流。P2P流量具有长时间固定连接的特点,理论上可以识别大规模P2P流量,但是该方法无法精确判断该IP流采用的P2P协议类型。
　　3 本文方案概述及其实现过程
　　由于P2P应用使用了不同的通信技术和协议,基于OSI第三层和第四层的传统方法很难有效地识别。为了有效的识别P2P数据流,最可靠的方法就是对应用层数据包进行基于规则表达式的字符串匹配的特征分析。由于每种协议的数据包均含有其特征字符串,只要掌握了该种协议的特征字符,相应地就可以识别出该协议。当前大多数协议的具体内容是公开的,而且常用的P2P协议可以通过抓包的方式,分析其协议特征,所以采用该方式能有效地识别主要的P2P数据流。
　　当前Linux系统主要采用Iptables扩展软件包的方式识别P2P数据流, 这其中包括两个主要的软件包--IPP2P和L7-filter classifier。系统管理员可以运用它们进行智能的数据包过滤,使用的目的并不是为了要禁止所有的P2P数据流,而是为了把P2P数据流限制在给定的速率范围之内,以避免由于P2P数据流对带宽的争夺而导致其它关键业务服务质量的下降。
　　IPP2P通过搜索TCP数据包的有效载荷来判断P2P网络发送信号的模式。由于这些模式并非存在于所有的P2P数据包中,IPP2P与连接追踪和连接标记结合使用,这样就可以捕捉大多数P2P数据包并限制带宽速率。
　　L7-filter是对连接开始的一些应用层数据包进行规则表达式匹配,以确定其协议使用的协议。L7-filter提供了一套模式定义文件,它不需要用户命令行输入规则表达式,但是也可以添加由用户自定义的模式文件。
　　以下分别介绍它们在Linux2.4.20-8系统上的详细实现方法。
　　3.1IPP2P的具体实现过程
了解更多资讯，请关注“木兰百花园”
更多关于“基于特征字符串匹配的P2P流量控制”的相关文章
& 雅安市网友
& 上海市网友
& 天津市网友
& 天津市网友
& 广西柳州网友
& 哈尔滨市网友
& 太原市网友
& 广西网友
& 广州网友
品牌杂志推荐
支持中国杂志产业发展，请购买、订阅纸质杂志，欢迎杂志社提供过刊、样刊及电子版。
全刊杂志赏析网 2017赞助商链接
本类月下载排行
本类周下载排行
常用软件推荐
P2P终结者破解版(局域网内P2P流量控制)V4.2.91中文版
P2P终结者破解版彻底解决了交换机连接网络环境问题，做到真正只需要在任意一台主机安装即可控制整个网络的P2P流量，对于网络中的主机来说具有很好的控制透明性，从而有效地解决了这一目前令许多网络管理员都极为头痛的问题，具有良好的应用价值。
&&& P2P终结者目前可以控制绝大部分流行的P2P软件下载，而且P2P终结者开发人员将持续跟踪最新的P2P下载技术的发展，在发现会对网络正常应用造成较大影响的网络下载技术时，会及时进行软件升级更新。
【软件特点】
1.支持目前主流P2P协议控制(Bittorrent,BaiduX,PP,Poco,Kamun,Thunder,Kugoo,eMule等)
2.支持P2P下载带宽限制自定义
3.支持指定主机全局带宽限制
4.主机网络带宽实时查看功能，可以使网络管理员对网络带宽使用情况做到一目了然
5.完全集成一些网络攻击工具的断开公网连接功能
6.IP-MAC绑定控制功能
7.网络主机通讯详细信息(IP报文内容分析)实时查看功能
8.HTTP下载自定义文件后缀控制功能
9.FTP下载限制功能
10.WWW站点自定义控制功能，支持黑名单、白名单方式
11.QQ,MSN，PoPo,UC聊天工具控制功能
12.控制日志记录
13.局域网非法Sniffer主机检测功能
14.支持绝大多数网络环境，网络结构不需要做任何改动，完美支持ADSL路由器+交换机网络环境
&&请点击以下链接下载该软件：&P2P终结者破解版(局域网内P2P流量控制)V4.2.91中文版
上一软件：
下一软件：
(评论内容只代表网友观点，与本站立场无关)
为了保证您快速的下载,推荐使用[] 、[] 等专业工具下载.
为确保软件能正常使用,请使用[
]解压本站软件.
目前不少软件都捆绑流氓插件，请在安装的之时务必留意每一个安装步骤.绿色先锋本身是不会捆绑任何插件在软件中的.
该软件为网上收集，若无意中侵犯了您的版权，.我们将在收信后24小时内删除侵权内
本站下载的软件中，部分软件经过压缩加密处理，解压密码为：
感谢您对绿色先锋的支持，请将网站地址放在您的博客，空间等地方，以便我们为您及您的朋友提供更好的服务.
软件按字母排列：
中文按声母搜索：