基于資料包的P2P下載下傳行為特征分析

    近日學習p2p協定，覺得元真偉寫的《基于資料包的P2P下載下傳行為特征分析》不錯，由于是PDF的，是以自己總結了一下，希望對大家有用！

p2p模式的核心技術是資源定位。

據粗略統計，p2p業務對帶寬占用比大緻是40%-60%，極端情況下會占用80%-90%，被稱為“帶寬殺手”，消耗了大量的網絡資源，并導緻ISP營運商網絡關鍵鍊路的擁塞和其他網際網路應用性能的快速下降。

通過資料包特征檢測識别p2p應用，提供基于總量和逐個使用者的p2p流量管理，減輕網絡擴容壓力變得日益重要。

通過對資料資訊包括IP、傳輸域、資料包流量等資訊，分析p2p檔案下載下傳行為的特征，包括過多的資料包量、TCP資料包占資料包比例、特定資料包大小占比以及目的端口的重複率等，并以這些特征為基礎，在通過對比應用層資料包中的特殊關鍵字，來分辨使用者所使用的是哪一種p2p檔案下載下傳、進行下載下傳行為。

    eMule 是一種需要依賴中心伺服器搜尋網絡上共享的檔案。特點是搜尋速度快并且具有全網搜尋功能，它允許用戶端傳輸任何類型的檔案，且能自動地叫交換來源繼續傳輸檔案。

    BitTorrent 簡稱BT。測傳輸協定無法直接搜尋檔案，使用者必須先自行尋找種子（seed）。種子中包含伺服器（Tracker）網絡位置、最初來源網絡位址、檔案資訊、檔案名、目錄名、長度等，最後是片段長度以及片段的Shal校驗碼等檔案相關資訊，然後利用該種子才能下載下傳所需檔案。

   整個BT釋出體系包括：含有釋出資源資訊的torrent檔案，作為BT用戶端中介者的tracker伺服器，遍布各地的BT軟體使用者（peer）。  

特征分析：

1、過多的資料包量   p2p檔案下載下傳軟體在執行時需要與伺服器或其他用戶端連接配接，會發出大量的資料包。實際觀察p2p檔案下載下傳軟體執行時的情況，可以發現：當執行時，UDP資料包的數量變化上升，而當進入下載下傳或上傳狀态時，TCP資料包的數量則會迅速增加。另外p2p應用特點是：持續時間長、平均速度高、以及傳輸大量資料包的現象

2、相等長度的UDP資料包比例    正常上網、發郵件等一般使用者發出UDP資料包的比例很少。實際測試環境，一小時UDP不超過個位數，甚至為0，是以TCP資料 包占幾乎的100%。而p2p應用彙總，大部分UDP資料包的長度相等，且都為大包(>1000).表現：相同大小UDP資料包明顯增加，并都為大包。

3、源端口上有較高的連接配接數     當下載下傳進入較穩定的狀态時，開始雙向進行傳輸後，會發現單一個源IP會與多個IP連接配接來進行檔案共享行為，通常行為時同一個IP的固定端口與許多不同的目的IP的不同端口号連接配接。

4、資料包内容關鍵詞    eMule 通過TCP傳輸資料，而控制資訊可以通過TCP，也可以經由UDP來傳送。通訊協定的資料資料包和控制資料包開頭第一個位元組的值是固定的。eMule是“0xc5”，接下來的4個位元組表示整個資料包的長度。後來eMule後來加上一個功能，可以将資料壓縮以節省帶 寬的浪費，是以采用“0xd4”。我們可以利用這前5個位元組來判定屬于eMule資料包。 BitTorrent 資料資料包的開頭有固定的格式，第一個位元組是固定值：“0x13”；接下來的19個位元組代表一個固定的字串：

“BitTorrent protocol”。可以将這20個位元組的值當做BitTorrent的資料包特征。

而在其UDP的資料包内容會出現“Info_hash20……get_peers1”字串；而其TCP資料包内容會出現“GET/announce info_hash=%”字串。 我們将這些當做BitTorerent的資料包特征。

5、可以通過常用的端口    電驢：4661;4662;4672;40700   迅雷：端口範圍3076 - 3077 并且位址為 202.96.155.91、210.22.12.53、61.128.198.97或者端口範圍  5200 6200

本文轉自 此号無效1 51CTO部落格，原文連結:http://blog.51cto.com/test2016/275356