基于数据包的P2P下载行为特征分析

简介:
    近日学习p2p协议,觉得元真伟写的《基于数据包的P2P下载行为特征分析》不错,由于是PDF的,所以自己总结了一下,希望对大家有用!
p2p模式的核心技术是资源定位。
据粗略统计,p2p业务对带宽占用比大致是40%-60%,极端情况下会占用80%-90%,被称为“带宽杀手”,消耗了大量的网络资源,并导致ISP运营商网络关键链路的拥塞和其他互联网应用性能的快速下降。
通过数据包特征检测识别p2p应用,提供基于总量和逐个用户的p2p流量管理,减轻网络扩容压力变得日益重要。
通过对数据信息包括IP、传输域、数据包流量等信息,分析p2p文件下载行为的特征,包括过多的数据包量、TCP数据包占数据包比例、特定数据包大小占比以及目的端口的重复率等,并以这些特征为基础,在通过对比应用层数据包中的特殊关键字,来分辨使用者所使用的是哪一种p2p文件下载、进行下载行为。
    eMule 是一种需要依赖中心服务器搜索网络上共享的文件。特点是搜索速度快并且具有全网搜索功能,它允许客户端传输任何类型的文件,且能自动地叫交换来源继续传输文件。
    BitTorrent 简称BT。测传输协议无法直接搜索文件,使用者必须先自行寻找种子(seed)。种子中包含服务器(Tracker)网络位置、最初来源网络地址、文件信息、文件名、目录名、长度等,最后是片段长度以及片段的Shal校验码等文件相关信息,然后利用该种子才能下载所需文件。
   整个BT发布体系包括:含有发布资源信息的torrent文件,作为BT客户端中介者的tracker服务器,遍布各地的BT软件使用者(peer)。  
特征分析:
1、过多的数据包量   p2p文件下载软件在执行时需要与服务器或其他客户端连接,会发出大量的数据包。实际观察p2p文件下载软件执行时的情况,可以发现:当执行时,UDP数据包的数量变化上升,而当进入下载或上传状态时,TCP数据包的数量则会迅速增加。另外p2p应用特点是:持续时间长、平均速度高、以及传输大量数据包的现象
2、相等长度的UDP数据包比例    正常上网、发邮件等一般使用者发出UDP数据包的比例很少。实际测试环境,一小时UDP不超过个位数,甚至为0,所以TCP数据 包占几乎的100%。而p2p应用汇总,大部分UDP数据包的长度相等,且都为大包(>1000).表现:相同大小UDP数据包明显增加,并都为大包。
3、源端口上有较高的连接数     当下载进入较稳定的状态时,开始双向进行传输后,会发现单一个源IP会与多个IP连接来进行文件共享行为,通常行为时同一个IP的固定端口与许多不同的目的IP的不同端口号连接。
4、数据包内容关键词    eMule 通过TCP传输资料,而控制信息可以通过TCP,也可以经由UDP来传送。通讯协议的资料数据包和控制数据包开头第一个字节的值是固定的。eMule是“0xc5”,接下来的4个字节表示整个数据包的长度。后来eMule后来加上一个功能,可以将资料压缩以节省带 宽的浪费,因此采用“0xd4”。我们可以利用这前5个字节来判定属于eMule数据包。 BitTorrent 资料数据包的开头有固定的格式,第一个字节是固定值:“0x13”;接下来的19个字节代表一个固定的字串:
“BitTorrent protocol”。可以将这20个字节的值当做BitTorrent的数据包特征。
而在其UDP的数据包内容会出现“Info_hash20……get_peers1”字串;而其TCP数据包内容会出现“GET/announce info_hash=%”字串。 我们将这些当做BitTorerent的数据包特征。

5、可以通过常用的端口    电驴:4661;4662;4672;40700   迅雷:端口范围3076 - 3077 并且地址为 202.96.155.91、210.22.12.53、61.128.198.97或者端口范围  5200 6200



本文转自 此号无效1 51CTO博客,原文链接:http://blog.51cto.com/test2016/275356

相关文章
|
4月前
|
网络协议 Unix Linux
作为网工,你还只会Wireshark?那你就OUT了!
作为网工,你还只会Wireshark?那你就OUT了!
|
6月前
|
监控 网络协议
Wireshark流量图
Wireshark流量图
|
7月前
|
网络协议
Wireshark 如何过滤抓到的网络包?
Wireshark 如何过滤抓到的网络包?
一张能让你把网络数据包传输说20分钟的图
特别好的一张图,不要失传了。 按理这图应该对应有很好的一篇文章或者博客
114 2
|
网络协议 虚拟化
WireShark抓包报文结构分析
WireShark抓包报文结构分析
WireShark抓包报文结构分析
|
缓存 网络协议 网络架构
计算机网络:利用分组嗅探器分析ARP实验
计算机网络:利用分组嗅探器分析ARP实验
182 0
计算机网络:利用分组嗅探器分析ARP实验
|
缓存 网络协议 Windows
计算机网络:实验五-利用分组嗅探器分析DNS
计算机网络:实验五-利用分组嗅探器分析DNS
482 0
计算机网络:实验五-利用分组嗅探器分析DNS
2022国赛D题气象报文信息卫星通信传输思路分析
2022国赛D题气象报文信息卫星通信传输思路分析
|
Python
深入理解USB流量数据包的抓取与分析
0x01 问题提出 在一次演练中,我们通过wireshark抓取了一个如下的数据包,我们如何对其进行分析? 0x02 问题分析 流量包是如何捕获的? 首先我们从上面的数据包分析可以知道,这是个USB的流量包,我们可以先尝试分析一下USB的数据包是如何捕获的。
2475 0