限制p2p流量的一点建议

现在网络上有很多号称p2p流量控制的软件，使用过几款产品，都是属于比较单调的arp欺骗，或者是客户端行为控制（就是检查到软件id有emule、bitcomet等名称的进程就k掉）等。作为网管同行，效果大家都明白。对于arp欺骗，稍微懂一点的弄个arp防火墙；高手一点的，跟你对着发。行为控制，做得好一点的可能判断流量的内容，但稍微加密一下流量内容就没辙了；做得差的，都不好意思说了。况且，如何把管辖内所有工作站安装一个客户端都是一个问题，有域的还可以推送，没有的话......

个人觉得，防止p2p流量蔓延，最需要解决的是如何识别p2p流量。因为所有的网络设备，包括防火墙，都不可能检查数据包的具体内容并匹配自身的各种策略作出转发抉择。因此，把流量本身作为依据应该是判断p2p行为的方法之一。

例如，p2p流量行为最为明显的标志是什么？

多源，具体就是同时与多个ip源交换数据流。你可以改变端口，可以同时开启多个源端口，甚至可以加密数据包蒙骗用于行为判断的客户端，但是你不能改变从多个ip源下载这个特征。从统计的角度上讲，若某个时间端，路由器某个端口接收到绝大部分来自同一源，不同目的地址的ip数据流，防火墙就判断源产生p2p流量，并进行相应的措施。

编写基于时间的统计语句可能比较困难，但若是基于源ip统计，可能相对容易。例如直接把接收到某个阀值以上不同源ip地址的数据包作为判断依据进行统计，并在客户端关机后清理统计内容。这需要网管对自己网络的需求进行分析，并通过不断调整找出更为合理的阀值。某些客户可能会提出不满：我正在浏览网页，收发邮件，或者进行聊天，怎么把我的流量封了？单纯非p2p行为，除了服务器，总不能产生出上百个不同源ip的连接吧？

上述个人意见，没有实际应用过，权当参考本文出自 “苦瓜” 博客，请务必保留此出处http://golehuang.blog.51cto.com/7499/86805