CN101599960A - 一种基于协议分析的p2p流量识别方法 - Google Patents
一种基于协议分析的p2p流量识别方法 Download PDFInfo
- Publication number
- CN101599960A CN101599960A CNA2009100272946A CN200910027294A CN101599960A CN 101599960 A CN101599960 A CN 101599960A CN A2009100272946 A CNA2009100272946 A CN A2009100272946A CN 200910027294 A CN200910027294 A CN 200910027294A CN 101599960 A CN101599960 A CN 101599960A
- Authority
- CN
- China
- Prior art keywords
- server
- rule
- client
- file
- tcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
#catch the server welcome answeralert tcp $HOME_NET any->$EXTERNAL_NETany(content:”VERSION”;offset:4;depth:12;content:”SERVER”;offset:11;depth:18;flow:from_server;flags:A*PA;msg:”OpenNap Server Connection”;classtype:policy-violation;) |
#catch the server welcome answeralert tcp $HOME_NET any->$EXTERNAL_NETany(content:WinMx;offset:4;nocase;flow:established;flags:PA;msg:”WinMx Connection to OpenNap Server”;classtype:policy-violation;) |
#catch the name of the files shared by the clientalert tcp $HOME_NET any->$EXTERNAL_NETany(msg:“Shared file list,Client→ServerOpenNap”;flow:established;flags:!S;flags:!SA;content:”|22 43 3a 5c|”;nocase;offset:4;depth:9;tag:host,5,packets,src;) |
#alert on query submitalert tcp $HOME_NET any->$EXTERNAL_NETany(content:“FILENAME CONTAINS”;offset:4;depth:18;flow:established:flags:PA;msg:”Query submitting”;) |
#alert on download requestsAlert tcp $HOME_NET any<->$EXTERNAL_NET any(content:”GET”;offset:0;depth:3;dsize:3;flow:established;flags:PA;msg:”GET OpenNap Downloading”;tag:session,2,packets;) |
#alert on upload requestsalert tcp $HOME_NET any<->$EXTERNAL_NET any(content:“SEND”;offset:0;depth:4;dsize:4;flow:established;flags:PA;msg:”SEND OpenNap Downloading”;tag:session,2,packets;) |
Claims (1)
- 一、一种基于协议分析的P2P流量识别方法,其基本流程为:1.协议分析:(1)客户->服务器:连接和登录(2)服务器->客户端:对登录信息的响应要响应一个客户端的的登录请求,服务器返回一个包含有字符串VERSION<ver>,SERVER<server-name>以及其他内容(例如字符串Welcome和对活动用户、共享文件的统计信息)的信息。<VERSION sw><SERVER name><Welcome>”statistics”<info>(3)客户->服务器:共享文件目录收到服务器的响应后,客户端发送其自身的共享文件目录,格式如下:<HD:\><Path><Fi lename>(4)客户端->服务器:查询请求客户端向服务器发送的请求格式如下:<FILENAME CONTAINS“criteria-words”><LINESPEED><adjectives><line-type>(5)服务器->客户端:查询响应服务器的响应格式如下:<path\filename><00..><size><bitrate><frequency><duration><nickname><ip><line-type>(6)客户端->服务器:下载通知其中第一个操作是产生一个发往中心服务器的具有如下格式的信息:<storing-nickname><path\filename>(7)服务器->客户端:存储端完整的IP地址文件下载:(1)没有防火墙的下载没有防火墙,请求端就可以与存储端建立直接的TCP连接,利用从服务器传回来的IP地址。3次握手以后,存储端将发送一个包含值“1”的字节。请求端收到这个字节以后,将返回一个包含单词“GET”的字节串,其后是请求文件的文件名及下载点的偏移量。这次信息交换后,文件传输就开始了。(2)有防火墙的下载:包含两个阶段:第一阶段:TCP连接建立一个请求端想要下载一个文件,该文件存储在另外一个有防火墙保护的客户端中。在启动阶段,存储端就将自己是受防火墙保护这一信息告知于服务器。服务器又将这一信息同存储端的完整地址一起交付给请求端(图2(a),message1和2)。存储端受防火墙保护的信息和赋给端口号0一起编码(图2(a),message1和2)。请求端收到服务器的消息,就返回给服务器一个收到信息的拷贝(图2(a),message3)。然后,服务器返回给存储端一个带有请求端名字即请求文件名的信息(图2(a),message4)。存储端返回给服务器这个信息的拷贝(图2(a),message5)。最后,服务器给存储端发送请求端的完整的IP地址。现在就可以在请求端和存储端之间建立TCP连接了。第二阶段:文件传输连接建立后,请求端发送一个值为1的字节(图2(b))。存储端发送一个包含有“SEND”单词的字节串作为响应,字节串后面是请求文件的名字和大小。请求端接受到该信息以后,发送文件传输起始点的偏移量。之后,文件传输开始。图2(b)中的两个起始信息可以用来书写识别OpenNap协议产生的流量的规则。2.由协议分析得出的SNORT规则:规则1
#catch the server welcome answeralert tcp $HOME NET_any->$EXTERNAL_NETany(content:”VERSION”;offset:4;depth:12;content:”SERVER”;offset:11;depth:18;flow:from_server;flags:A*PA;msg:”OpenNap Server Connection”;classtype:policy-violation;) 该规则可以允许识别使用OpenNap协议的所有软件。规则2#catch the server welcome answeralert tcp $HOME_NET any->$EXTERNAL_NETany(content:WinMx;offset:4;nocase;flow:established;f lags:PA;msg:”WinMx Connection to OpenNap Server”; classtype:policy-violation;) 该规则分析网络流量,检查是否有包含“WinMx”的TCP载荷,同时,试图捕获WinMx应用中从客户端发往服务器的登陆信息。规则3#catch the name of the files shared by the clientalert tcp $HOME_NET any->$EXTERNAL_NETany(msg:“Shared file list,Client→ServerOpenNap”;flow:established;flags:!S;flags:!SA;content:”|22 43 3a 5c |”;nocase;offset:4;depth:9;tag:host,5,packets,src;) 该规则从网络流量中取出客户间共享的文件目录。规则4#alert on query submitalert tcp $HOME_NET any->$EXTERNAL_NETany(content:“FILENAME CONTAINS”;offset:4;depth:18;flow:established:flags:PA;msg:”Query submitting”;) 该规则在一个实体向中心服务器发出请求时发出警报。它能够在TCP载荷中识别出单词“FILENAME CONTAINS”。规则5#alert on download requestsAlert tcp $HOME_NET any<->$EXTERNAL_NET any(content:”GET”;offset:0;depth:3;dsize:3;flow:established;flags:PA;msg:”GET OpenNap Downloading”;tag:session,2,packets;) 该规则只有在规则1产生警报之后才能激发:它能够捕获将要存储的文件名及TCP连接的另一端的地址。规则6#alert on upload requestsalert tcp $HOME_NET any<->$EXTERNAL_NET any(content:“SEND”;offset:0;depth:4;dsize:4;flow:established;flags:PA;msg:”SEND OpenNap Downloading”;tag:session,2,packets;) 该规则与5类似:它搜寻字符串“SEND”,SEND用于一个请求端向受防火墙保护的文件存储端发送的请求中。如果该规则满足,就能够得到请求文件的名字。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2009100272946A CN101599960A (zh) | 2009-05-27 | 2009-05-27 | 一种基于协议分析的p2p流量识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2009100272946A CN101599960A (zh) | 2009-05-27 | 2009-05-27 | 一种基于协议分析的p2p流量识别方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101599960A true CN101599960A (zh) | 2009-12-09 |
Family
ID=41421207
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2009100272946A Pending CN101599960A (zh) | 2009-05-27 | 2009-05-27 | 一种基于协议分析的p2p流量识别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101599960A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850442A (zh) * | 2013-01-29 | 2017-06-13 | 华为技术有限公司 | 报文处理方法和转发设备 |
CN108600348A (zh) * | 2018-04-11 | 2018-09-28 | 青岛通产伟博大数据运营有限公司 | 一种新的去中心化教育资源存储系统和方法 |
CN109472138A (zh) * | 2017-12-01 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种检测snort规则冲突的方法、装置和存储介质 |
-
2009
- 2009-05-27 CN CNA2009100272946A patent/CN101599960A/zh active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850442A (zh) * | 2013-01-29 | 2017-06-13 | 华为技术有限公司 | 报文处理方法和转发设备 |
CN106850442B (zh) * | 2013-01-29 | 2019-01-08 | 华为技术有限公司 | 报文处理方法和转发设备 |
CN109472138A (zh) * | 2017-12-01 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种检测snort规则冲突的方法、装置和存储介质 |
CN108600348A (zh) * | 2018-04-11 | 2018-09-28 | 青岛通产伟博大数据运营有限公司 | 一种新的去中心化教育资源存储系统和方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110213212B (zh) | 一种设备的分类方法和装置 | |
JP3612528B2 (ja) | パラメータ設定システム | |
JP4354294B2 (ja) | ネットワーク・セグメントが互いに異なる複数のネットワークに接続されたゲートウェイ装置、およびipパケットを転送するためのプログラムおよび方法 | |
US20160337333A1 (en) | Method and device for classifying tcp connection carrying http traffic | |
EP2692089B1 (fr) | Mécanisme de redirection entrante sur un proxy inverse | |
JP4758362B2 (ja) | 中継装置、プログラム及び中継方法 | |
Spognardi et al. | A methodology for P2P file-sharing traffic detection | |
CN106685932A (zh) | 一种基于云服务的文件访问系统和方法 | |
JP2014510484A (ja) | リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法 | |
CN107347076B (zh) | Ssrf漏洞的检测方法及装置 | |
CN105227571A (zh) | 基于nginx+lua的web应用防火墙系统及其实现方法 | |
CN101808018A (zh) | 接入终端数量的检测方法及设备 | |
US7907543B2 (en) | Apparatus and method for classifying network packet data | |
CN110430188A (zh) | 一种快速url过滤方法及装置 | |
CN111314301A (zh) | 一种基于dns解析的网站访问控制方法及装置 | |
CN105939327A (zh) | 审计日志的生成方法及装置 | |
CN107592299B (zh) | 代理上网识别方法、计算机装置及计算机可读存储介质 | |
US20030172155A1 (en) | Cracker tracing system and method, and authentification system and method of using the same | |
CN105938472A (zh) | 一种网页访问控制方法和装置 | |
CN113849820A (zh) | 一种漏洞检测方法及装置 | |
CN101599960A (zh) | 一种基于协议分析的p2p流量识别方法 | |
Yu et al. | Traffic identification and overlay measurement of Skype | |
Matthíasson et al. | IoT device profiling: From MUD files to S× C contracts | |
Cisco | Cisco Secure Intrusion Detection System Signature Engines Version 3.0 | |
Oudah et al. | Using burstiness for network applications classification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
ASS | Succession or assignment of patent right |
Owner name: JIANGSU XINWANG VIDEO TECH. CO., LTD. Free format text: FORMER OWNER: NANJING XINWANG VIDEOTECH. CO., LTD. Effective date: 20110216 |
|
C41 | Transfer of patent application or patent right or utility model | ||
COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 210029 6/F, JIANGSU WATER SUPPLY SERVICE CENTER, NO. 9, SHANGHAI ROAD, NANJING CITY, JIANGSU PROVINCE TO: 210019 5/F, BUILDING 01, NO. 69, AOTI AVENUE, JIANYE DISTRICT, NANJING CITY, JIANGSU PROVINCE |
|
TA01 | Transfer of patent application right |
Effective date of registration: 20110216 Address after: 210019, 5, 01, 69 Olympic Sports Avenue, Jianye District, Jiangsu, Nanjing Applicant after: Jiangsu Xinwang Tec Technology Co.,Ltd. Address before: 210029, 6 floor, Jiangsu water conservancy logistics service center, 9 Shanghai Road, Jiangsu, Nanjing Applicant before: Nanjing Xinwang VideoTech. Co., Ltd. |
|
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20091209 |