关于p2p协议识别问题
关于p2p协议识别问题毕设题目关于p2p协议识别的.由于p2p协议很多,应用也很多。主要看了bt协议,
也抓包分析了数据包的特征。如果要做数据还原,解析出下载文件的类型,如何去
判断??捕获到数据包并分析完特征,如何去做还原? bt都是多条链路下载和上传文件。
由于题目很广,除了bt外如何去识别其他的p2p协议呢?
有思路的帮帮忙看看,不胜感激啊! 关于BT协议的流量识别,目前,最行之有效的办法就是基于特征码的识别,一般BT软件不会轻易更改协议特征码,如BT commet 、贪婪BT、EMULE等,但是也有一些软件特征码本身就加密,例如迅雷等,此外迅雷可将下载数据流通过HTTP隧道的方式传输,本身很难捕捉其真实数据,即使通过协议分析软件仍不能解开其报文信息,因此,无法彻底实现。流量监管或许是一种折中的解决方案。 对。BT协议有固定的特征码,连接时都会发送一个包含BitTorrent Protocol字样的数据包,以互相建立通信。你可以识别该数据包,达到检测BT的目的。
具体可以看BT协议规范 The BitTorrent Protocol Specification
[url]http://www.bittorrent.org/beps/bep_0003.html[/url]
eMule也有自身的协议,可以参考The eMule Protocol Specification
[url]http://sourceforge.net/projects/emule/[/url]
上面有个描述协议原理的pdf
不过以上说的都是基于DPI的检测(最大的问题就是不能识别加密的P2P)。对于加密的P2P协议,可以通过流量识别方法检测出来。P2P和正常流量间有很多不同。想检测加密的P2P协议,你可以参考一些流量识别的论文,从中选取一些方法研究研究。 :) 现在能不能有现成的filter 可以下载
有帮助
谢谢阿 学习了:) :) :) 封迅雷 qq旋风 快车这类基于http的p2p不能从7层的特征码入手 因为可能已加密 ,启动这类基于p2p时会登陆一些域名,capture这些域名 封了就ok 谢谢,受益匪浅啊!值得品味!
页:
[1]