基于深层包过滤的p2p协议分析及特征提取

毕业设计（论文）中文题目：基于深层包过滤技术的P2P应用特征分析英文题目：TheAnalysisofP2PApplicationbasedonDeepPacketFiltering学院：计算机与信息技术学院专业：计算机科学与技术学生姓名：徐郡爽学号：05281236指导教师：杜晔2009年05月29日北京交通大学毕业设计（论文）任务书题目：基于深层包过滤技术的P2P应用特征分析适合专业：计算机科学与技术指导教师（签名）：提交日期：2009年3月9日学院：计算机专业：计算机学生姓名：徐郡爽学号：05281236毕业设计（论文）基本内容和要求：1、掌握深层包分析技术的原理。2、了解p2p协议的工作原理。3、掌握P2P协议特征分析技术4、常见P2P协议特征提取5、搭建试验平台，验证特征有效性毕业设计（论文）重点研究的问题：1.P2P协议的通信原理与过程。2.数据包中的协议特征的分析。3.实验平台的搭建。4.验证特征有效性北京交通大学毕业设计（论文）任务书22毕业设计（论文）应完成的工作：1）查阅国内外相关文献资料（20篇）2）根据主要研究内容，提出实现技术路线3）设计原型系统4）关键技术研究（包括：协议分析，抓获数据包等内容）5）测试6）撰写、提交论文参考资料推荐：请查阅抓包和数据包特征分析的相关资料以及试验平台搭建的一些资料。可参考以下资料：外文文献：[1]wireshark使用手册[2]中文文献：[1]《莱鸟浅谈linux内核编译过程》[2]《Linux下利用l7filter封杀迅雷、QQ、MSN》[3]《网络抓包终结讯雷！绿盟教你如何抓包限制P2P软件》[4]=563&goto=lastpost《Wireshark封包擷取和分析》[5]《使用Wireshark分析Linux网络数据》[6]=15北京交通大学毕业设计（论文）任务书33《Wireshark数据分析操作实验英汉对照【1】》[7]贺思德.申浩如.《计算机网络安全与应用》北京：科学出版社[8]何径沙.《linux防火墙》北京：机械工业出版社其他要说明的问题：无北京交通大学毕业设计（论文）任务书44题目：基于深层包过滤技术的P2P应用特征分析学院：计算机与信息技术专业：计算机科学与技术学生姓名：徐郡爽学号：05281236文献综述：P2P协议分析的现状：近几年，各国都在P2P协议分析方面投入了大量的人力物力和财力，并取得了显著的成果。但是，目前在P2P软件的控制和使用方面，仍然存在着很大的不足，比如一些软件不能很好的屏蔽或控制。目前在此领域使用较为广泛的就是l7filter和ip-p2p,其中，l7fliter许多的功能能针对的是国外软件，而一些国内软件的控制并没有实现，不能满足国内一些公司或用户的需求。在探讨P2P协议分析之前，先要对P2P有一定的了解。P2P是一种分布式网络，网络的参与者共享他们所拥有的一部分硬件资源（处理能力、存储能力、网络连接能力、打印机等），这些共享资源需要由网络提供服务和内容，能被其它对等节点(Peer)直接访问而无需经过中间实体。在此网络中的参与者既是资源（服务和内容）提供者（Server），又是资源（服务和内容）获取者（Client）。P2P协议分析主要是对一些常用软件的常用协议进行分析。P2P下载的技术实现：P2P技术的特点体现在以下几个方面。Decentralization）：网络中的资源和服务分散在所有结点上，信息的传输和服务的实现都直接在结点之间进行，可以无需中间环节和服务器的介入，避免了可能的瓶颈。P2P的非中心化基本特点，带来了其在可扩展性、健壮性等方面的优势。P2P网络中，随着用户的加入，不仅服务的需求增加了，系统整体的资源和服务能力也在同步地扩充，始终能较容易地满足用户的需要。整个体系是全分布的，不存在瓶颈。理论上其可扩展性几乎可以认为是无限的。P2P架构天生具有耐攻击、高容错的优点。由于服务是分散在各个结点之间进行的，部分结点或网络遭到破坏对其它部分的影响很小。P2P网络一般在部分结点失效时能够自动调整整体拓扑，保持其它结点的连通性。P2P网络通常都是以自组织的方式建立起来的，并允许结点自由地加入和离开。P2P网络还能够根据网络带宽、结点数、负载等变化不北京交通大学毕业设计（论文）任务书55断地做自适应式的调整。基本研究方法如下：P2P技术的迅猛发展使的对P2P流量进行管理不可或缺。但是，由于P2P通讯的复杂性，对P2P协议的准确识别一直是一大难题。对P2P协议进行识别的传统方法主要有：1.端口范围，比如老的bt协议的6883-6889的端口范围。2.特征匹配。通过数据包中的一些特征进行识别。近两年来，为了避开网络监控，越来越多的P2P软件，典型的有bt，emule，都采用了加密协议和模糊特征。而且大部分P2P软件在默认端口被禁止的情况下，都能自动转换端口，并且支持通过80端口来进行通讯。所以传统的识别技术面临很大挑战。P2P识别技术，必然要综合更多的因素进行考虑，才能准确识别P2P协议。具体策略如下：1.禁用常见端口。如Bittorrent的TCP端口号6881-6889，eMule的TCP端口号2323、3306、4242、4500、4501、4661-4674、4677、4678、7778和UDP端口号12155等，迅雷的TCP端口80和UDP端口15000。2.数据包特征分析。例如PPLive的数据包中包含如下模式\xe9\x03..\x98\xab\x01；kugoo的数据包中包含如下模式\x64.+\x74\x47\x50\x37；bt的数据包中包含如下模式(\x13bittorrentbittorrentprotocol|azver\x01$|get/scrape\?info_hash=)|d1:ad2:id20:|\x08'7P\)；3.行为特征分析。由于P2P网络属于应用层，因此为了躲避内容监管，现有P2P系统很多采用了负荷加密处理的办法。加密特性使得常规的特征模式匹配方法很难直接应用。因此，必须寻求行为特征检测方法才能提高准确性和可靠性。可采用一下集中方法：1）协议对分析技术。该技术利用了P2P系统可能同时使用TCP和UDP协议的特点。实际分析结果表明，P2P系统一般采用UDP来发送命令等控制信息，而采用TCP协议来传输数据。在一般的应用中，通常一个应用极少出现同时使用UDP协议和TCP协议的情况。研究表明，大约2/3的P2P协议同时使用TCP和UDP协议，而其他应用中同时使用两种协议的仅仅包括NetBIOS、游戏、视频等少数应用（ThomasKaragiannis,AndreBroido,MichalisFaloutsos,etal.,TransportLayerIdentificationofP2PTraffic[C],IMC’04,October2004）。因此，可以利用P2P系统的这个特征来识别P2P流量。例如，通过判断在时间t内，某个“源-目的IP地址对“之间，是否同时使用了TCP和UDP协议。如果是，则这两个节点之间的流量就可能是P2P流量；反之，则可能不是P2P流量。但可能存在误报的问题。北京交通大学毕业设计（论文）任务书662）基于监测{IP,端口}对的连接模式。这一方法的基本依据为：当一个新的主机A加入P2P系统后，它将通过superpeer广播其IP地址以及接受连接的端口号port。其他主机收到后利用这一信息与主机A建立连接。这样，对端口port而言，与其建立连接的IP地址数目就等于与其建立连接的不同端口数目（因为不同主机选择同一端口与主机A建立连接的可能性是很低的，完全可以忽略不计）。而其他一些应用如Web，一个主机通常使用多个端口并行接收对象，这样建立连接的IP地址数目将远小于端口数目。但是另外一些应用，如mail、DNS等，也具有类似的属性，因此使用这种方法在实际识别过程中需要将它们区分出来。3）流量区分。P2P应用的特点是持续时间长、平均速率较高以及总的传输字节数高。这与文件传输如FTP等应用有些类似，但是该类应用可以很方便的通过端口号识别出来，而且由于这些应用与用户的交互性不如Web、视频等应用高，因此出现一定的误判导致对它们的流量限制不会造成大的问题。如下图所示：服务持续时间平均速率传输字节数HTTP短高中-高VPN长低高Games长低高Streaming长中高Telnet长低中P2P长中-高高根据流所包含的字节数，可以很容易将普通Web流量同P2P文件共享流量区分开。当前存在的问题：当前一些常用P2P软件的特征或者数据分析提取不准确，存在较高的误检率，还有一些特征提取不准确，不能准确屏蔽和控制，分析方法不够成熟完善。发展动向：做一个功能完善的网关控制系统，能够准确的控制和屏蔽一些常用应用软件，满足公司和用户的需求。本文研究的意义在于：目前由于P2P软件的广泛应用和许多公司人员的滥用，已经给公司带来了很大的危害。例如：1.由于雇员滥用对等（P2P）网络技术共享音乐北京交通大学毕业设计（论文）任务书77和视频，这项技术给广大企事业单位增加了很多危害。一位业内人士说，由于P2P应用使用80端口和其他非正式协议，常常绕过企业的防火墙，使用P2P技术的文件共享使企业暴露在传统安全措施检测不到的病毒的威胁下。此外，由于不能阻止雇员访问违法或非授权资料，企业还面临法律风险。2.由于p2p软件点对点访问的先天特点，因此造成用户在下载时，BT软件会频繁读取硬盘上的不同数据区域，从而造成硬盘磁头频繁移读写，从而会降低硬盘性能。3、由于p2p的广泛应用，助长了病毒的传播。4、当前，以BitTorrent(以下简称BT)为代表的P2P下载软件流量占用了宽带接入的大量带宽，据统计已经超过了50%，这对于以太网接入等共享带宽的宽带接入方式提出了很大的挑战，大量的使接入层交换机的端口长期工作在线速状态，严重影响了用户使用正常的Web、E-mail以及视频点播等业务，并可能造成重要数据无法及时传输而给企业带来损失。因此，运营商、企业用户以及教育等行业的用户都有对这类流量进行限制的要求。BT将会占用太多的网络资源，从而有可能在接入网、传输网、骨干网等不同层面形成瓶颈，造成资源紧张，这似乎也是目前运营商包括网通、长宽等封掉BT端口的最大理由。总之，有效地封堵各种P2P软件，以保证企业网络正常运转已经成为当前局域网网络管理的迫切问题。从以上方面看来，该课题的研究显得紧迫而重要。北京交通大学毕业设计（论文）任务书88主要参考文献：外文文献：[1]wireshark使用手册[2]中文文献：[1]《莱鸟浅谈linux内核编译过程》[2]《Linux下利用l7filter封杀迅雷、QQ、MSN》[3]《网络抓包终结讯雷！绿盟教你如何抓包限制P2P软件》[4]