基于P2P流量檢測的簽名特征匹配研究
加入技術交流群
2 簽名特征的抓取及實驗數據分析
簽名技術需要訪問每一個數據包中的用戶載荷,每一種P2P應用都具有與協議相關的簽名特征,為了對比分析方便,選取目前使用較為廣泛的Sniffer軟件,通過抓取對應協議數據包,觀察關鍵字、命令、選項等可觀察的特征內容,找到其已知的特征串。
實現簽名特征技術的關鍵問題在于,首先通過分析P2P流是TCP數據包還是UDP數據包,或者兩者皆有;其次P2P應用層的簽名可以應用到單一的數據包,也可應用到重組的數據包中。
Emule/Edonkey協議:采用TCP或UDP通信,缺省端口4661-4665,第一字節特征串為0xe3,0xc5。本文引用地址:http://www.104case.com/article/193648.htm
Kazaa協議:對數據包進行加密,很難了解到協議的具體細節,在Kazaa中,文件通常以偽裝的HTTP形式發送。
Gnutella協議:使用TCP建立一個高度互聯的拓撲結構,為子節點提供網絡服務,當兩個Gnutella節點建立連接后,需要一個握手來交換一下必要的數據信息。
明文檢查UDP包起始數據是否為“GNUTELL”或“GND”
p2p機相關文章:p2p原理
評論