关于p2p协议识别问题
毕设题目关于p2p协议识别的.由于p2p协议很多，应用也很多。主要看了bt协议，
也抓包分析了数据包的特征。如果要做数据还原，解析出下载文件的类型，如何去
判断？？捕获到数据包并分析完特征，如何去做还原？ bt都是多条链路下载和上传文件。
由于题目很广，除了bt外如何去识别其他的p2p协议呢？

有思路的帮帮忙看看，不胜感激啊！

关于BT协议的流量识别，目前，最行之有效的办法就是基于特征码的识别，一般BT软件不会轻易更改协议特征码，如BT commet 、贪婪BT、EMULE等，但是也有一些软件特征码本身就加密，例如迅雷等，此外迅雷可将下载数据流通过HTTP隧道的方式传输，本身很难捕捉其真实数据，即使通过协议分析软件仍不能解开其报文信息，因此，无法彻底实现。流量监管或许是一种折中的解决方案。

对。BT协议有固定的特征码，连接时都会发送一个包含BitTorrent Protocol字样的数据包，以互相建立通信。你可以识别该数据包，达到检测BT的目的。
具体可以看BT协议规范 The BitTorrent Protocol Specification
http://www.bittorrent.org/beps/bep_0003.html

eMule也有自身的协议，可以参考The eMule Protocol Specification
http://sourceforge.net/projects/emule/
上面有个描述协议原理的pdf


不过以上说的都是基于DPI的检测（最大的问题就是不能识别加密的P2P）。对于加密的P2P协议，可以通过流量识别方法检测出来。P2P和正常流量间有很多不同。想检测加密的P2P协议，你可以参考一些流量识别的论文，从中选取一些方法研究研究。

现在能不能有现成的filter 可以下载

谢谢阿

学习了

封迅雷 qq旋风 快车这类基于http的p2p不能从7层的特征码入手 因为可能已加密 ，

启动这类基于p2p时会登陆一些域名，capture这些域名 封了就ok