DPI BitTorrent指纹图谱

Question

为了限制BitTorrent的使用，我必须识别BitTorrent流量。

对于握手，我只是简单地寻找"19“和"BitTorrent协议”字符串。如果是DHT，我正在查找ping或id (d1:ad2:id20)命令。

我所做的一切都可以在链接中看到

我大概在第五包就能赶上BitTorrent。但有时我的逻辑失败了。我用Wireshark来理解我什么时候不能标记BitTorrent流量。我发现了一个包含前三个包会话的UDP会话，如下所示：

我正在寻找uTP和DHT协议规范，但找不到任何类似于下面的流量。我确信这个会话是BitTorrent，因为在第三个数据包中有字符串"BitTorrent协议“。

似乎连Wireshark都不能将其标记为BitTorrent并显示UDP。我的问题是，将下面的会话标识为BitTorrent协议的规则是什么？

Answer 1

如果一个主机有一个连接到多个远程主机的端口，并且这个端口有一个很大的端口号(例如，50000 TCP/UDP端口)，并且对于目标端口也是如此，那么很可能提到的主机使用BitTorrent客户端。此方法可以消除所有p2p连接，而不仅仅是BitTorrent连接。

在您的例子中，您可能对以下主题感兴趣：BitTorrent客户端可以进行指纹识别吗？