如何在网络上识别p2p

Question

我想知道下面的图片中的流量是否是P2P文件共享？

如果您注意到源端口都是随机的，但是来自c.port 58338的时间17.24很长，可能大约有400个数据包。有什么方法可以确定这是否是wireshark中的p2p流量？

这是一个取证挑战，所以看起来不像真实世界的网络流量。在我看来，它也像是端口扫描，所以这更多的是一个关于如何识别p2p网络流量的问题。

Answer 1

我假设您谈论的是BitTorrent，而不是Gnutella或其他P2P协议。

没有BitTorrent流量的标准端口，所以您需要做一些调查。

首先，BitTorrent与一组追踪者交谈。此通信是通过HTTP完成的，并且将具有(至少)以下标题：

• info_hash -元数据(.torrent)文件的URL编码散列。
• peer_id -一个URL编码的随机字符串.
• port --客户端正在监听的端口号--对以后的筛选非常有用！

然而，有时这是在HTTPS上完成的，因此它使其更难检测。您应该查找端口80或443上发生的任何通信量。

接下来，您需要查找对等点之间的通信量。对等握手很好地提供了一个易于搜索的标题：

<pStrLen><pStr><reserved><infoHash><peerId>

pStrLen字段告诉我们pStr的字节长度，pStr是协议标识符。通常，这是"BitTorrent协议“，所以pStr是19，因此您可以搜索以13 42 69 74 54 6f 72 72 65 6e 74 20 70 72 6f 74 6f 63 6f 6c开头的数据包。

一些BitTorrent客户端支持加密的客户端到客户端协议，但我猜它们不会对您进行取证挑战。

来源：http://wiki.theory.org/BitTorrentSpecification

使用被动统计分析可以识别加密的BitTorrent通信量。Erik和Wolfgang John展示了分析加密通信协议(包括BitTorrent )的技术。他们的论文中的表5.4显示了MSE (加密BitTorrent)的置信度为0.965。第6.1节解释了分析的一些细节，并提到了一些相对容易识别的属性。

Answer 2

它看起来像是局域网上的两个主机之间的通信，几乎不是一个P2P。实际上，它看起来像一个“安全”工具扫描的端口/服务，击中了所有流行的TCP端口。