基于P2P流量检测的签名特征匹配研究
2 签名特征的抓取及实验数据分析
签名技术需要访问每一个数据包中的用户载荷,每一种P2P应用都具有与协议相关的签名特征,为了对比分析方便,选取目前使用较为广泛的Sniffer软件,通过抓取对应协议数据包,观察关键字、命令、选项等可观察的特征内容,找到其已知的特征串。
实现签名特征技术的关键问题在于,首先通过分析P2P流是TCP数据包还是UDP数据包,或者两者皆有;其次P2P应用层的签名可以应用到单一的数据包,也可应用到重组的数据包中。
Emule/Edonkey协议:采用TCP或UDP通信,缺省端口4661-4665,第一字节特征串为0xe3,0xc5。
Kazaa协议:对数据包进行加密,很难了解到协议的具体细节,在Kazaa中,文件通常以伪装的HTTP形式发送。
Gnutella协议:使用TCP建立一个高度互联的拓扑结构,为子节点提供网络服务,当两个Gnutella节点建立连接后,需要一个握手来交换一下必要的数据信息。
明文检查UDP包起始数据是否为“GNUTELL”或“GND”
加入微信
获取电子行业最新资讯
搜索微信公众号:EEPW
或用微信扫描左侧二维码
