近日学习p2p协议,觉得元真伟写的《基于数据包的P2P下载行为特征分析》不错,由于是PDF的,所以自己总结了一下,希望对大家有用!
p2p模式的核心技术是资源定位。
据粗略统计,p2p业务对带宽占用比大致是40%-60%,极端情况下会占用80%-90%,被称为“带宽杀手”,消耗了大量的网络资源,并导致ISP运营商网络关键链路的拥塞和其他互联网应用性能的快速下降。
通过数据包特征检测识别p2p应用,提供基于总量和逐个用户的p2p流量管理,减轻网络扩容压力变得日益重要。
通过对数据信息包括IP、传输域、数据包流量等信息,分析p2p文件下载行为的特征,包括过多的数据包量、TCP数据包占数据包比例、特定数据包大小占比以及目的端口的重复率等,并以这些特征为基础,在通过对比应用层数据包中的特殊关键字,来分辨使用者所使用的是哪一种p2p文件下载、进行下载行为。
eMule 是一种需要依赖中心服务器搜索网络上共享的文件。特点是搜索速度快并且具有全网搜索功能,它允许客户端传输任何类型的文件,且能自动地叫交换来源继续传输文件。
BitTorrent 简称BT。测传输协议无法直接搜索文件,使用者必须先自行寻找种子(seed)。种子中包含服务器(Tracker)网络位置、最初来源网络地址、文件信息、文件名、目录名、长度等,最后是片段长度以及片段的Shal校验码等文件相关信息,然后利用该种子才能下载所需文件。
整个BT发布体系包括:含有发布资源信息的torrent文件,作为BT客户端中介者的tracker服务器,遍布各地的BT软件使用者(peer)。
特征分析:
1、过多的数据包量 p2p文件下载软件在执行时需要与服务器或其他客户端连接,会发出大量的数据包。实际观察p2p文件下载软件执行时的情况,可以发现:当执行时,UDP数据包的数量变化上升,而当进入下载或上传状态时,TCP数据包的数量则会迅速增加。另外p2p应用特点是:持续时间长、平均速度高、以及传输大量数据包的现象
2、相等长度的UDP数据包比例 正常上网、发邮件等一般使用者发出UDP数据包的比例很少。实际测试环境,一小时UDP不超过个位数,甚至为0,所以TCP数据 包占几乎的100%。而p2p应用汇总,大部分UDP数据包的长度相等,且都为大包(>1000).表现:相同大小UDP数据包明显增加,并都为大包。
3、源端口上有较高的连接数 当下载进入较稳定的状态时,开始双向进行传输后,会发现单一个源IP会与多个IP连接来进行文件共享行为,通常行为时同一个IP的固定端口与许多不同的目的IP的不同端口号连接。
4、数据包内容关键词 eMule 通过TCP传输资料,而控制信息可以通过TCP,也可以经由UDP来传送。通讯协议的资料数据包和控制数据包开头第一个字节的值是固定的。eMule是“0xc5”,接下来的4个字节表示整个数据包的长度。后来eMule后来加上一个功能,可以将资料压缩以节省带 宽的浪费,因此采用“0xd4”。我们可以利用这前5个字节来判定属于eMule数据包。 BitTorrent 资料数据包的开头有固定的格式,第一个字节是固定值:“0x13”;接下来的19个字节代表一个固定的字串:
“BitTorrent protocol”。可以将这20个字节的值当做BitTorrent的数据包特征。
而在其UDP的数据包内容会出现“Info_hash20……get_peers1”字串;而其TCP数据包内容会出现“GET/announce info_hash=%”字串。 我们将这些当做BitTorerent的数据包特征。
p2p模式的核心技术是资源定位。
据粗略统计,p2p业务对带宽占用比大致是40%-60%,极端情况下会占用80%-90%,被称为“带宽杀手”,消耗了大量的网络资源,并导致ISP运营商网络关键链路的拥塞和其他互联网应用性能的快速下降。
通过数据包特征检测识别p2p应用,提供基于总量和逐个用户的p2p流量管理,减轻网络扩容压力变得日益重要。
通过对数据信息包括IP、传输域、数据包流量等信息,分析p2p文件下载行为的特征,包括过多的数据包量、TCP数据包占数据包比例、特定数据包大小占比以及目的端口的重复率等,并以这些特征为基础,在通过对比应用层数据包中的特殊关键字,来分辨使用者所使用的是哪一种p2p文件下载、进行下载行为。
eMule 是一种需要依赖中心服务器搜索网络上共享的文件。特点是搜索速度快并且具有全网搜索功能,它允许客户端传输任何类型的文件,且能自动地叫交换来源继续传输文件。
BitTorrent 简称BT。测传输协议无法直接搜索文件,使用者必须先自行寻找种子(seed)。种子中包含服务器(Tracker)网络位置、最初来源网络地址、文件信息、文件名、目录名、长度等,最后是片段长度以及片段的Shal校验码等文件相关信息,然后利用该种子才能下载所需文件。
整个BT发布体系包括:含有发布资源信息的torrent文件,作为BT客户端中介者的tracker服务器,遍布各地的BT软件使用者(peer)。
特征分析:
1、过多的数据包量 p2p文件下载软件在执行时需要与服务器或其他客户端连接,会发出大量的数据包。实际观察p2p文件下载软件执行时的情况,可以发现:当执行时,UDP数据包的数量变化上升,而当进入下载或上传状态时,TCP数据包的数量则会迅速增加。另外p2p应用特点是:持续时间长、平均速度高、以及传输大量数据包的现象
2、相等长度的UDP数据包比例 正常上网、发邮件等一般使用者发出UDP数据包的比例很少。实际测试环境,一小时UDP不超过个位数,甚至为0,所以TCP数据 包占几乎的100%。而p2p应用汇总,大部分UDP数据包的长度相等,且都为大包(>1000).表现:相同大小UDP数据包明显增加,并都为大包。
3、源端口上有较高的连接数 当下载进入较稳定的状态时,开始双向进行传输后,会发现单一个源IP会与多个IP连接来进行文件共享行为,通常行为时同一个IP的固定端口与许多不同的目的IP的不同端口号连接。
4、数据包内容关键词 eMule 通过TCP传输资料,而控制信息可以通过TCP,也可以经由UDP来传送。通讯协议的资料数据包和控制数据包开头第一个字节的值是固定的。eMule是“0xc5”,接下来的4个字节表示整个数据包的长度。后来eMule后来加上一个功能,可以将资料压缩以节省带 宽的浪费,因此采用“0xd4”。我们可以利用这前5个字节来判定属于eMule数据包。 BitTorrent 资料数据包的开头有固定的格式,第一个字节是固定值:“0x13”;接下来的19个字节代表一个固定的字串:
“BitTorrent protocol”。可以将这20个字节的值当做BitTorrent的数据包特征。
而在其UDP的数据包内容会出现“Info_hash20……get_peers1”字串;而其TCP数据包内容会出现“GET/announce info_hash=%”字串。 我们将这些当做BitTorerent的数据包特征。
5、可以通过常用的端口 电驴:4661;4662;4672;40700 迅雷:端口范围3076 - 3077 并且地址为 202.96.155.91、210.22.12.53、61.128.198.97或者端口范围 5200 6200
本文转自 此号无效1 51CTO博客,原文链接:http://blog.51cto.com/test2016/275356
