一、一種基于協(xié)議分析的P2P流量識(shí)別方法，其基本流程為：

1.協(xié)議分析：

(1)客戶(hù)->服務(wù)器：連接和登錄

(2)服務(wù)器->客戶(hù)端：對(duì)登錄信息的響應(yīng)

要響應(yīng)一個(gè)客戶(hù)端的的登錄請(qǐng)求，服務(wù)器返回一個(gè)包含有字符串 VERSION<ver>，SERVER<server-name>以及其他內(nèi)容(例如字符串Welcome和對(duì)活 動(dòng)用戶(hù)、共享文件的統(tǒng)計(jì)信息)的信息。

<VERSION?sw><SERVER?name><Welcome>”statistics”<info>

(3)客戶(hù)->服務(wù)器：共享文件目錄

收到服務(wù)器的響應(yīng)后，客戶(hù)端發(fā)送其自身的共享文件目錄，格式如下：

<HD:/><Path><Fi?lename>

(4)客戶(hù)端->服務(wù)器：查詢(xún)請(qǐng)求

客戶(hù)端向服務(wù)器發(fā)送的請(qǐng)求格式如下：<FILENAME?CONTAINS “criteria-words”><LINESPEED><adjectives><line-type>

(5)服務(wù)器->客戶(hù)端：查詢(xún)響應(yīng)

服務(wù)器的響應(yīng)格式如下：

<path/filename><00..><size><bitrate>

<frequency><duration><nickname><ip><line-type>

(6)客戶(hù)端->服務(wù)器：下載通知

其中第一個(gè)操作是產(chǎn)生一個(gè)發(fā)往中心服務(wù)器的具有如下格式的信息：

<storing-nickname><path/filename>

(7)服務(wù)器->客戶(hù)端：存儲(chǔ)端完整的IP地址

文件下載：

(1)沒(méi)有防火墻的下載

沒(méi)有防火墻，請(qǐng)求端就可以與存儲(chǔ)端建立直接的TCP連接，利用從服務(wù)器傳 回來(lái)的IP地址。3次握手以后，存儲(chǔ)端將發(fā)送一個(gè)包含值“1”的字節(jié)。請(qǐng)求端 收到這個(gè)字節(jié)以后，將返回一個(gè)包含單詞“GET”的字節(jié)串，其后是請(qǐng)求文件的 文件名及下載點(diǎn)的偏移量。這次信息交換后，文件傳輸就開(kāi)始了。

(2)有防火墻的下載：包含兩個(gè)階段：

第一階段：TCP連接建立

一個(gè)請(qǐng)求端想要下載一個(gè)文件，該文件存儲(chǔ)在另外一個(gè)有防火墻保護(hù)的客戶(hù) 端中。在啟動(dòng)階段，存儲(chǔ)端就將自己是受防火墻保護(hù)這一信息告知于服務(wù)器。服 務(wù)器又將這一信息同存儲(chǔ)端的完整地址一起交付給請(qǐng)求端(圖2(a)，message1 和2)。存儲(chǔ)端受防火墻保護(hù)的信息和賦給端口號(hào)0一起編碼(圖2(a)，message1 和2)。

請(qǐng)求端收到服務(wù)器的消息，就返回給服務(wù)器一個(gè)收到信息的拷貝(圖2 (a)，message3)。然后，服務(wù)器返回給存儲(chǔ)端一個(gè)帶有請(qǐng)求端名字即請(qǐng)求文件 名的信息(圖2(a)，message4)。存儲(chǔ)端返回給服務(wù)器這個(gè)信息的拷貝(圖2 (a)，message5)。最后，服務(wù)器給存儲(chǔ)端發(fā)送請(qǐng)求端的完整的IP地址。現(xiàn)在就 可以在請(qǐng)求端和存儲(chǔ)端之間建立TCP連接了。

第二階段：文件傳輸

連接建立后，請(qǐng)求端發(fā)送一個(gè)值為1的字節(jié)(圖2(b))。存儲(chǔ)端發(fā)送一個(gè) 包含有“SEND”單詞的字節(jié)串作為響應(yīng)，字節(jié)串后面是請(qǐng)求文件的名字和大小。 請(qǐng)求端接受到該信息以后，發(fā)送文件傳輸起始點(diǎn)的偏移量。之后，文件傳輸開(kāi)始。 圖2(b)中的兩個(gè)起始信息可以用來(lái)書(shū)寫(xiě)識(shí)別OpenNap協(xié)議產(chǎn)生的流量的規(guī)則。

2.由協(xié)議分析得出的SNORT規(guī)則：

規(guī)則1

該規(guī)則可以允許識(shí)別使用OpenNap協(xié)議的所有軟件。

規(guī)則2

該規(guī)則分析網(wǎng)絡(luò)流量，檢查是否有包含“WinMx”的TCP載荷，同時(shí)，試圖 捕獲WinMx應(yīng)用中從客戶(hù)端發(fā)往服務(wù)器的登陸信息。

規(guī)則3

該規(guī)則從網(wǎng)絡(luò)流量中取出客戶(hù)間共享的文件目錄。

規(guī)則4

該規(guī)則在一個(gè)實(shí)體向中心服務(wù)器發(fā)出請(qǐng)求時(shí)發(fā)出警報(bào)。它能夠在TCP載荷中 識(shí)別出單詞“FILENAME?CONTAINS”。

規(guī)則5

該規(guī)則只有在規(guī)則1產(chǎn)生警報(bào)之后才能激發(fā)：它能夠捕獲將要存儲(chǔ)的文件名 及TCP連接的另一端的地址。

規(guī)則6

該規(guī)則與5類(lèi)似：它搜尋字符串“SEND”，SEND用于一個(gè)請(qǐng)求端向受防火墻 保護(hù)的文件存儲(chǔ)端發(fā)送的請(qǐng)求中。如果該規(guī)則滿(mǎn)足，就能夠得到請(qǐng)求文件的名字。