[发明专利]一种基于协议分析的P2P流量识别方法无效
| 申请号: | 200910027294.6 | 申请日: | 2009-05-27 |
| 公开(公告)号: | CN101599960A | 公开(公告)日: | 2009-12-09 |
| 发明(设计)人: | 丁元彬;张顺颐;颜学智;王攀 | 申请(专利权)人: | 南京欣网视讯科技股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 210029江苏省南京*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本文介绍了一种检测P2P流量的方法,它基于:对P2P协议的分析;通过对IP数据报的分析,识别出P2P协议所独有的特征;根据这些特征编写IDS规则。该方法具有很好的可扩展性,它既可以识别标准的P2P协议,如OpenNap,也可以识别完全分散化的协议,如WPN和FastTrack。本文中的结论和规则均在局域网中得到了验证。 | ||
| 搜索关键词: | 一种 基于 协议 分析 p2p 流量 识别 方法 | ||
【主权项】:
一、一种基于协议分析的P2P流量识别方法,其基本流程为:1.协议分析:(1)客户->服务器:连接和登录(2)服务器->客户端:对登录信息的响应要响应一个客户端的的登录请求,服务器返回一个包含有字符串VERSION,SERVER以及其他内容(例如字符串Welcome和对活动用户、共享文件的统计信息)的信息。”statistics”(3)客户->服务器:共享文件目录收到服务器的响应后,客户端发送其自身的共享文件目录,格式如下:(4)客户端->服务器:查询请求客户端向服务器发送的请求格式如下:(5)服务器->客户端:查询响应服务器的响应格式如下:<00..>(6)客户端->服务器:下载通知其中第一个操作是产生一个发往中心服务器的具有如下格式的信息:(7)服务器->客户端:存储端完整的IP地址文件下载:(1)没有防火墙的下载没有防火墙,请求端就可以与存储端建立直接的TCP连接,利用从服务器传回来的IP地址。3次握手以后,存储端将发送一个包含值“1”的字节。请求端收到这个字节以后,将返回一个包含单词“GET”的字节串,其后是请求文件的文件名及下载点的偏移量。这次信息交换后,文件传输就开始了。(2)有防火墙的下载:包含两个阶段:第一阶段:TCP连接建立一个请求端想要下载一个文件,该文件存储在另外一个有防火墙保护的客户端中。在启动阶段,存储端就将自己是受防火墙保护这一信息告知于服务器。服务器又将这一信息同存储端的完整地址一起交付给请求端(图2(a),message1和2)。存储端受防火墙保护的信息和赋给端口号0一起编码(图2(a),message1和2)。请求端收到服务器的消息,就返回给服务器一个收到信息的拷贝(图2(a),message3)。然后,服务器返回给存储端一个带有请求端名字即请求文件名的信息(图2(a),message4)。存储端返回给服务器这个信息的拷贝(图2(a),message5)。最后,服务器给存储端发送请求端的完整的IP地址。现在就可以在请求端和存储端之间建立TCP连接了。第二阶段:文件传输连接建立后,请求端发送一个值为1的字节(图2(b))。存储端发送一个包含有“SEND”单词的字节串作为响应,字节串后面是请求文件的名字和大小。请求端接受到该信息以后,发送文件传输起始点的偏移量。之后,文件传输开始。图2(b)中的两个起始信息可以用来书写识别OpenNap协议产生的流量的规则。2.由协议分析得出的SNORT规则:规则1
