P2P安全问题

 

<!-- /* Font Definitions */ @font-face {font-family:宋体; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-alt:SimSun; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} @font-face {font-family:黑体; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-alt:SimHei; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:1 135135232 16 0 262144 0;} @font-face {font-family:"/@宋体"; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} @font-face {font-family:"/@黑体"; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:1 135135232 16 0 262144 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-parent:""; margin:0cm; margin-bottom:.0001pt; text-align:justify; text-justify:inter-ideograph; mso-pagination:none; font-size:10.5pt; mso-bidi-font-size:12.0pt; font-family:"Times New Roman"; mso-fareast-font-family:宋体; mso-font-kerning:1.0pt;} h1 {mso-margin-top-alt:auto; margin-right:0cm; mso-margin-bottom-alt:auto; margin-left:0cm; mso-pagination:widow-orphan; mso-outline-level:1; font-size:24.0pt; font-family:宋体; mso-bidi-font-family:宋体; font-weight:bold;} h2 {mso-style-next:正文; margin-top:13.0pt; margin-right:0cm; margin-bottom:13.0pt; margin-left:0cm; text-align:justify; text-justify:inter-ideograph; line-height:173%; mso-pagination:lines-together; page-break-after:avoid; mso-outline-level:2; font-size:16.0pt; font-family:Arial; mso-fareast-font-family:黑体; mso-bidi-font-family:"Times New Roman"; mso-font-kerning:1.0pt; font-weight:bold;} a:link, span.MsoHyperlink {color:blue; text-decoration:underline; text-underline:single;} a:visited, span.MsoHyperlinkFollowed {color:purple; text-decoration:underline; text-underline:single;} p {mso-margin-top-alt:auto; margin-right:0cm; mso-margin-bottom-alt:auto; margin-left:0cm; mso-pagination:widow-orphan; font-size:12.0pt; font-family:宋体; mso-bidi-font-family:宋体;} /* Page Definitions */ @page {mso-page-border-surround-header:no; mso-page-border-surround-footer:no;} @page Section1 {size:595.3pt 841.9pt; margin:72.0pt 90.0pt 72.0pt 90.0pt; mso-header-margin:42.55pt; mso-footer-margin:49.6pt; mso-paper-source:0; layout-grid:15.6pt;} div.Section1 {page:Section1;} -->

1 ．基于 P2P 的 Internet 隐私保护与匿名通信技术  

利用P2P 无中心的特性可以为隐私保护和匿名通讯提供新的技术手段。
　 　匿名性和隐私保护在很多应用场景中是非常关键的：在使用现金购物，或是参加无记名投票选举时，人们都希望能够对其他的参与者或者可能存在的窃听者隐藏自 己的真实身份；在另外的一些场景中，人们又希望自己在向其他人展示自己身份的同时，阻止其他未授权的人通过通信流分析等手段发现自己的身份，例如为警方检 举罪犯的目击证人。事实上，匿名性和隐私保护已经成为了一个现代社会正常运行所不可缺少的一项机制，很多国家已经对隐私权进行了立法保护。
　　然 而在现有的Internet 世界中，用户的隐私状况却一直令人堪忧。目前Internet 网络协议不支持隐藏通信端地址的功能。能够访问路由结点的攻击者 可以监控用户的流量特征，获得IP 地址，使用一些跟踪软件甚至可以直接从IP 地址追踪到个人用户。SSL 之类的加密机制能够防止其他人获得通信的内容，但 是这些机制并不能隐藏是谁发送了这些信息。
　　P2P 技术为解决Internet 隐私问题开辟了一条新的可行方案。P2P 系统要求每个匿名用户同 时也是服务器，为其他用户提供匿名服务。这意味着经过一个节点的消息可能是源于该节点，也可能是源于其他节点，很难决定是这两种情况中的哪一种。P2P 系 统的另一个特点是攻击者不易找到明确的攻击目标，在一个大规模的环境中，任何一次通信都可能包含许多潜在的用户。另外，P2P 系统具有较好的可扩展性和柔 性，可以在节点之间进行负载均衡，不存在单失效点等优点。
　　但P2P 系统也面临着许多挑战。首先是加入控制（admission control ），系统很难知道加入的节点是否是恶意节点，是否被攻击者控制等。这样，一个能力强的攻击者，可以向系统中插入大量被其控制的节点，以进行 通信流分析。而对加入系统的节点进行身份认证又与匿名性这一目标相违背。其次是P2P 系统的动态性很强，许多节点在网络中的时间并不长，它们频繁地加入和 离开系统。当一个节点加入系统时，它需要为系统中其他节点形成匿名路径，这可能会带来一些安全问题。当一个节点离开系统时，该节点所在匿名路径上的那些用 户必须等待新的匿名路径的形成。节点加入和离开系统的另一个问题是节点必须知道网络中的其他一些节点。而P2P 系统不断变化的匿名集又给这一问题增添了困 难。最后，P2P 系统中各个节点的性能有差异, 尤其是在一个开放的环境中。这导致了一些问题，例如，一个性能差的节点会降低其所在匿名路径的效率，即使匿 名路径上其他节点的性能很好。性能差异还可能有利于攻击者进行时间分析，因为攻击者可以从一条路径上的不同的延迟获得一些相关的信息等。
　　目 前，研究者已经设计出了很多P2P 匿名通信协议。CliqueNet 是由cornell 大学设计的一个自组织的可扩展P2P 匿名通信协议。它采用分治的思 想对DC-Net 协议进行了改进，目的是解决DC-Net 协议效率低和可扩展性差的弱点。然而，与DC-Net 一样，CliqueNet 同样需要可靠的广 播，这在目前Internet 上是不现实的。P5 采用分级广播的思想来建立匿名通信网络，并且考虑了用户的匿名性和通信效率之间的平衡。不过，当用户数很 大（大约达到1 万）时，该协议效率很低。Crowds 的目的是为用户提供匿名Web 浏览，它使得用户能够匿名的从Web 服务器取回信息而不对服务器和第三 方泄漏用户信息。Crowds 的思想是“ 混在人群中” ，意思是把自己隐藏在群体中，其缺点在于匿名性不高。Freenet 是应用层的点对点匿名发布系统， 主要用于匿名存储和检索。Onion Routing ，Tarzan ，MorphMix 都是基于Chaum 提出的MIX 方法的P2P 匿名通信协议，它们的匿名性较好，而且适合于 Internet 环境。缺点是在大规模情况下，可扩展性和效率不是很好。
　　另外，匿名通讯技术如果被滥用将导致很多互联网犯罪而无法追究到匿名用户的责任。所以提供强匿名性和隐私保护的P2P 网络必须以不违反法律为前提。而在匿名与隐私保护和法律监控之间寻找平衡又将带来新的技术挑战。当然，前提是相关的法律法规必须进一步完善。

2.P2P 视频应用引爆安全危机

P2P 技术在中国从 2005 年兴起，主要应用于 网络 视频领域，由于 P2P 技术门槛低，运营成本低，很快就得到 互联网 企业的青睐，成为各大网站和不少企业拓展 宽带 应用的主要手段。
然 而，在 P2P 如火如荼的应用热浪中，其安全问题应该越来越引起我们的重视。尤其是这种安全风险与 P2P 运营的用户规模相比，运营规模越大危害越大。当前 P2P 技术在国内可以用泛滥来形容。使用该技术的公司，企业不断增加，用户高达上亿。一旦其安全漏洞被利用，其局面将处于完全失控状态，后果十分可怕。而 且这种漏洞是 P2P 与生俱来的，很难从根本上杜绝。因此，在 P2P 技术的使用上，必须要做长远的考虑。

  伪造数据

在P2P 网络中， 都需要一个描述文件信息的Metadata 数据，该数据包含了要下载文件的分块大小和每块数据的完整性检验值，以及Tracker服务器 的地址。 而Tracker 在文件的P2P 网络传输过程中，跟踪P2P 节点拥有的文件块信息，用于其他节点及时获取拥有需要的内容块的其他节点的地址。

在破解了P2P 协议的情况下，黑客能够在P2P 网络中传递Metadata 数据时，将其修改为另外一个伪造的文件信息，并同时修改Tracker 服 务器的地址，同时用伪造的Tracker 服务器代替原来的Tracker 。那么，P2P 网络中的节点会向伪造的Tracker 服务器查询P2P 网络中其他 节点， Tracker 服务器会把拥有伪造数据的节点信息发送给该节点。这些节点就会下载到伪造的数据中。这些数据在最后进行完整性检验的时候，也不能被发现出 来，因为Metadata 中文件的检验信息就是该伪造数据的信息。

P2P 网络中由于缺乏统一的管理，在发现伪造的数据后，不能控制P2P 节点不下载伪造的数据或者阻止P2P 网络中伪造数据的传输，从而导致伪造的数据在P2P 网络中肆意传播，而且会处于完全失控状态。

在P2P 网络中， 由于任何节点都是可以加入的，同时也为网络中的其他节点提供转发服务。从网络攻击的角度来看，一个“ 恶意” 节点故意将正常的数据替换成伪造的数据，在转发的整个P2P 网络中，完全可以欺骗其他P2P 的节点而不被发现。

在P2P 网络中，大的数据块往往被分割成多个小的数据块在网络中传递。为了维护数据的正确性，需要有一个或者多个中心的服务器保存每块数据的 Hash 值，用于节点在接收到数据时，检验数据是否正确。Hash 算法中常用的算法包括MD5 、SHA-1 、SHA-256 、SHA-512 等，其中以 MD5 应用最为广泛。Hash 算法本身是一种单向散列算法，它将一长串的数据散列成有限长度（几十到几百个字节）的数据。从理论上讲，一定要存在两个不同 的数据，而它们的Hash 值是一样的。在实践中，安全专家已经证明MD5 不是安全的。也就是说，在有“ 原内容和MD5 值” 的情况下，可以找到一种方法，产 生一个与原来内容长度和MD5 值都相同的新内容。在P2P 网络中，如果“ 恶意” 节点用这样的方法产生伪造的数据，替代原有的数据传播到网络中去，是不会被 网络的其他节点发现的。
如果有人利用上述方式在P2P 网络中伪造数据，可以想象后果是什么样的。

易受攻击

从主流P2P 实现来看，虽然数据共享与传送是在用户节点之间直接进行，但在大规模的网络 应用中都选择了构建索引服务器 进 行资源查询与定位。例如，BT 应用中设置了Tracker 服务器，用户通过资源描述的Torrent 文件得到Tracker 的地址之后，连接到Tracker ，得到用户节点列表。eMule 的客户端通过内置的Tracker 地址列表能实现资源的搜索与查 找。当然，在KazaA 模型中的超级节点也充当了索引服务器的角色。目前，许多网络黑客不约而同地选择了以上的索引服务器连接过程，作为攻击服务器的入手 点。P2P 的众多用户无形之中成为了网络攻击的发起者。

假定攻击者通过其他途径（例如木马、病毒、网络信息截获、端口扫描）获取了某个服务器的端口信息，就可以欺骗P2P 用户对服务器发动拒绝服务攻击DDoS 。这里的欺骗手段是多样化的：在局域网 内 可通过ARP 欺骗的方式；BT 应用中客户端通过HTTP 的方式连接到Tracker ，随后发起Get_peerList 的会话。因此，攻击者可以伪装一个 虚假的Tracker 服务器，设置热门资源的虚假PeerList 信息指向目标服务器的端口。由于PeerList 信息指出热门资源在目的服务器上，则上 千台用户计算机 尝试与目标服务器进行连接，从而实现了拒绝服务攻击。

DDoS 攻击一直是网络安全 的一个难题。传统的DDoS 攻击需要伪造数据包或者控制大规模的计算机来发动。在P2P 规模日益扩大的今天，攻击者不需具体入侵用户终端，就能毫不费力地借助网络中的P2P 用户发动攻击，这给网络安全提出了新的挑战。

事实上，通过欺骗P2P 客户端不但能形成大规模的网络攻击，而且这种情况下大量用户始终处于请求连接的状态，使原有的P2P 应用也受到了很大影响。例如，许多P2P流媒体 应用中采用了预置索引服务器的方式，受到以上重定向手段的影响后，用户将无法获取到正确的节点列表，从而无法获得媒体服务。同时在用户节点发起数据分片请求时，如果伪装的热点资源服务器伪造数据包进行响应，这使得用户节点接收到的数据分片总是解码失败。

  信息泄露 l

P2P 技术使得用户信息和私有网络信息的安全性面临挑战。通常企业或者用户都需要构建自己的私有网络，公网用户不能直接与私网用户建立直接连接进行 数据交换。入侵者总是要想方设法得到私有网络内部的信息，通常都是采用带毒邮件、网络插件携带木马等方式使私网内部的用户在不知情的状态下泄漏内部网络的 信息。

P2P 软件的盛行，使这一过程变得更加难以控制。P2P 软件通常都具备私网穿越的功能。例如BT 客户端在连接Tracker 的时候，请求消息中客户 端会对网络地址进行判断；如果客户端在私网内，客户端就会将私网用户的私网地址、端口号，及其所对应的公网地址、端口号包含在消息体中进行发送。

通过私有网络的信息，入侵者可以对内部网络进行有效地攻击。P2P 技术的迅速发展，使得恶意P2P 软件形成了入侵的有效手段。恶意P2P 软件在共享 本地资源的过程中，用户无法察觉到它将自己的私密信息（如账户信息）发送到入侵者处。而且在P2P 的环境中，追踪入侵者的网络位置变得十分困难。

P2P 使得网络热门资源能够在网络中迅速传播，这给病毒和恶意软件提供了传播的捷径。当然，P2P 软件本身有可能是无害的，但共享的文件中却可能因 为存在漏洞而被利用。流行的RMVB 格式存在一个广告弹出的漏洞，这被许多不法分子所利用，作散布不良信息的渠道。热门影片的用户关注程度总是比较高，不 法分子在影片中携带弹出式广告，使得有害信息在P2P 网络上爆炸式地传播，远远超过了在传统C/S 模式下的传播速度。

近来一段时间，蠕虫病毒开始在P2P 网络中泛滥，KazaA 便首当其冲。例如，Worm.P2P.SpyBot 蠕虫病毒通过KazaA 传播，也可通过被后门程序感染的计算机传播。P2P 网络节点众多，只要有一个节点感染病毒，就能够通过P2P 通信机制将病毒迅速扩 散到逻辑邻近的节点，而且逻辑邻近节点在物理上可能分布于多个网络区域，这使得短时间内对网络用户造成的破坏程度远远超过以前。