DPI Fingerprinting di BitTorrent

1

Per limitare l'utilizzo di BitTorrent, devo identificare il traffico BitTorrent.

Per l'handshaking, sto semplicemente cercando la stringa "19" e "Protocollo BitTorrent". Se è DHT, sto cercando comandi ping o id (d1: ad2: id20).

Tutto ciò che faccio può essere visto nel link

In genere prendo BitTorrent al ~ quinto pacchetto. Ma a volte, la mia logica fallisce. Ho usato Wireshark per capire quando non posso taggare il traffico BitTorrent. Ho scoperto una sessione UDP con la prima sessione di tre pacchetti come nella foto qui sotto:

StocercandolespecifichedelprotocollouTPeDHT,manonriescoatrovarenulladisimilealtrafficosottostante.SonosicurochequestasessioneèBitTorrent,perchénelterzopacchettoc'èunastringa"Protocollo BitTorrent".

Sembra che Wireshark non possa etichettarlo come BitTorrent e mostrare UDP. La mia domanda è, qual è la regola per identificare la sessione di seguito come protocollo BitTorrent?

    
posta Kadir Erdem Demir 15.09.2014 - 08:08
fonte

1 risposta

1

Se un host ha una singola porta che è connessa a molti host remoti e questa singola porta ha un numero di porta grande (ad esempio 50000 porta TCP / UDP) e la stessa cosa è vera per le porte di destinazione, quindi molto probabilmente la menzionata l'host utilizza un client BitTorrent. Questo metodo può eliminare tutte le connessioni p2p, non solo BitTorrent.

Nel tuo caso potresti essere interessato a questo argomento: È possibile impronte digitali per i client BitTorrent

    
risposta data 13.10.2014 - 11:31
fonte

Leggi altre domande sui tag