特征码查找教程.doc

特征码教程环境配置：VMware securecrt&securefx 6.5securecrt&securefx 6.5破解方法：将附带的破解补丁复制到你的安装目录中，比如我的是C:Program FilesVanDyke SoftwareClients然后双击点击patch按钮即可抓包工具：Wireshark先下个wireshark抓包工具，安装，运行点击第二个：realtek 10/100/1000 ethernet nic，进入抓包界面选择capture选项下有start和stop 来控制抓包开始和结束。在fileter栏里可以填一些选择显示包的条件，比如http，则下面会显示出所有的http，tcp和udp也一样。 Tcp和udp简单介绍在介绍特征码之前，先要熟悉一下tcp和udp这两种常用的协议。我们用wireshark抓包来分析他们的具体结构。Tcp：Tcp是可靠连接通过3次握手来建立连接上面的图很清楚，是两个ip间的3次tcp通信，当然要知道他们是不是建立连接还需要查看包的内容。第一个tcp包：简单介绍一下tcp包头的内容：Source port：源端口Destianation port：目的端口Sequence number：序列号Header length：头长度Flags：标记位，占8bit位经常用的位就是ack位，syn位和fin位。当ack=0，syn=1时，这就是一个请求包，很显然这是一个请求包。Window size：窗口值Checksum：检验和Options：选项第二个tcp包：这是建立连接时的第二个tcp包，flags位 ack=1，syn=1代表这是一个应答包。Ack确认号为1代表收到了序号为0的包，期望收到下一个包的序号为1。 第三个tcp包：Sequence number为1，代表发送包的第一个字节的序号为1，ack确认号为1代表期望收到对方下一个包以1为序号开始。Ack标记号为1表示确认收到了对方发来的包。Udp：Udp首部很简单，就一个源端口，目的端口，携带数据长度和校验和。注意携带数据长度是不包括首部在内的。 特征码分析方法介绍1 特征码特征码是每一钟协议中特有的固定的编码。特征码的用处是帮助我们识别每一种协议的包。具体到我们公司的产品就是用来搞流量监控。要找特征码，我们必须清楚明白什么是特征码。Udp：举例来说，我们要分析pps的特征码。下面是我们抓取到的pps的包：pps传输数据用的是udp协议。抓到的每一个包的内容如下：其中有ip头，udp包头，和payload数据字段，也就是data字段。我们要找的特征码也就是在data字段。通过多个包比较我们就可以统计出特征码。比如通过查看5个udp包的data字段为：35bytes1f00430000d200c69680ffffffff56866f43362f6df3017ff6fbeaecfc02ab9a3275801f00430000d200c69680ffffffff56866f43362f6df3017ff6fbeaecfc02ab9a3275801f00430000d200c69680ffffffff56866f43362f6df3017ff6fbeaecfc02ab9a32758079bytes4F00433271FF00000000001456866F43362F6DF3017FF6FB.133bytes8100430000820056866f43362f6df3017ff6fbeaecfc02ab9a32750002010000000b0064010c000。从上面的16进制的包中可以发现他们都有共同的特征0043，那么0043就可以作为pps的特征码的一部分。通过深入的查找还可以发现其实前两个字节也是有规律的，那就是35=1*16+f+4 79=4*16+f+4 133=8*16+1+4 那么这也就是pps的特征码的一部分。再往下看我们发现长度大于256的包，和上面的特征不符，他的包为：11235f04430000d9004cea84feffffffff1100000056866f43362f6df3017ff6fbeaecfc02ab9a32750。10612104430000A200010BAAA67FFFFFFFFF3E000000030000C8.很显然1123！=5*16+f+4 1061！=2*16+1+4 通过比较发现1123=5*16+F+4*256+4 1061=2*16+1+4*256+4 而之前统计的包也完全符合这样的规律，比如35=1*16+f+4+0*256所以更加准确的特征码应该是len=payload0+payload1*256+4.综上所述：我们找到的一条pps的特征码为：len=payload0+payload1*256+4&payload2=43&payload3=00当然对于携带数据的tcp包也可以采用同样的方法进行查找特征码。http：对于payload字段是http包的协议，我们的协议判别方法有很多种。首先让我们来学习一下http包的结构：还是通过实例抓包来学习：1） 一种最简单的识别方法就是通过关键字来识别：如下一个包：把每一行称为一个字段的值。Get字段值是用来传送请求的。Host字段表示的是服务器的地址。从中我们看到有pps，于是判定host字段值为pl.pps.tv的包是pps协议的包。User-agent字段表示的是用户代理。从中我们看到用户代理是ppstream-client，很显然这是一个pps的客户端，于是判定user-agent字段值为ppstream-client的包是pps协议的包。2） 通过http特征序列来判断协议通过http特征序列来判断协议的前提是你已经知道了这个包是属于哪个协议。我们抓的包如下：我发现了x-srcuin：409037887 ，这是我的qq号码，于是我知道这个http包是qq协议的包。但是我不能把409037887作为特征码，因为这是个具体的号码而不具有抽象性，他会经常的变化。那么应该怎么样来判断这个包属于qq协议呢？这就用到了http序列。通过多个包的比较你就会发现，只有qq会用这样的http序列：get/accept/x-versio/x-srcusertype/x-srcuin/x-dstuin/x-dstusertype/x-imagetype/xsignsring/x-filehash/user-agent/host/pragma于是我们就可以将这样的序列作为qq协议的一个特征码。3） 迅雷伪装ie下载我们先抓取迅雷下载的一个http包很显然我们无法通过关键字得知这个包是不是迅雷下载的包还只是普通的网页流浪。之所以把他称为伪ie是因为迅雷的用户代理也就是user-agent字段是ie的标志，可以从包中看出是msie6.0。 像这种情况，我们当然可以通过上述的http序列来判断。通过仔细的统计比较，你会发现，迅雷的user-agent字段和ie还是有所区别的。迅雷的user-agent字段经常为：User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727）Ie的user-agent字段经常为：User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; InfoPath.2)这样我们也可以把迅雷的user-agent字段值作为特征码。通过以上三种特征码的查找方法，基本上已经可以找出大部分协议的特征码。但还有一些包不是那么容易识别，这样我们就需要对多个连接包来进行分析识别。2 行为分析识别例如迅雷下载，倘若采用udp协议进行下载，则本地软件会采用相同端口多ip进行下载，通过抓包我们可以发现这些。5是我本地机器的ip，对于不同的ip 38和3却采用相同的端口进行通信，据此可以判定他们其实是相同协议的包，当然仅凭此还不能判定他就是p2p 下载，要判定其为p2p下载还需要对其连接数和流量进行统计。如果迅雷采用tcp协议进行下载，为了加速下载，他会采用相同ip多端口进行下载。从上图中，你可能会误以为，5和0 只是一个连接，其实不然，他们是5个连接，有5个不同的端口。因此我们也可以把get字段子相同，ip地址相同，但端口号不同作为判断迅雷协议的一个特征