基于P2P流量檢測的簽名特征匹配研究
加入技術交流群
Gnutella命令特征:負載最后以“\r\n”結尾,而且起始數據為:“GET/get/”
Vagaa協議分析:Vagaa和Emule/EDonkey一樣也是一種較為流行的P2P軟件。它的協議分析如下:
發送請求數據包特征:16進制表示為:78 01 7B DC C9 C0 C0 3F 90 B8 6E 97 E6 35 3E A6 92 73 F3 A5 64 1B 14 F2 77
確認數據包特征:16進制表示:DE AD BE EF
PPLive協議:作為一款流行的P2P在線視頻播放軟件,通過對PPLive流量的抓取分析,發現PPLive的UDP數據包具有的簽名特征,如表5所示。本文引用地址:http://www.104case.com/article/193648.htm
BitTorrent協議:BitTorrent是非常流行的文檔下載軟件,通過對BitTorrent的TCP握手信息進行分析,發現其簽名特征,如表6所示。
BitTorrent在下載過程中與Tracker服務器進行通信,它采用HTTP協議,通過分析其HTTP流,發現其簽名特征:
UDP包特征:UDP長度24字節(含UDP頭),起始8個字節為:00 00 04 17 27 10 19 80
TCP包特征:第一字節為0x13,后續數據為:“BitTorrentprotocol”
3 結束語
文中通過對各時期P2P流量檢測技術回顧,闡述了流量檢測技術的進展,提出一種基于協議簽名特征的P2P流識別方法。首先,通過Snif fer軟件對數據包進行抓取,并進行特征分析、關鍵字分析,進行預判;然后,再進行深度掃描,對數據流進行較精確判決,根據流的協議特征和行為特征判決方法,判決規則簡單,有利于工程應用,通過實驗室小數據測試,實驗證明本文提出的識別方式可行。下一步工作,可對簽名特征較為分散的數據流進行重組,提取更為準確的簽名特征,進行精確判別;另外,隨著網絡帶寬的快速發展,大流量、實時的檢測數據流,需要進一步提升抓包、篩選效率和簽名特征多模式匹配算法效率。
p2p機相關文章:p2p原理
評論