北邮下一代internet实验4报告.docx

实验四：实验报告实验名称分析典型P2P软件的工作过程实验目的利用逆向工程的方法，分析典型的P2P软件的基本工作过程实验完成人实验日期 2015-11-30实验环境win7 32位系统通过图书馆BUPT3校园网与Internet连接使用wireshark进行抓包，使用P2P软件迅雷实验步骤与结果分析一、 使用ipconfig查询本机IP二、 将杀毒软件等可能需要联网的程序关闭，但留下QQ进行截图，使之尽可能少的干扰抓包过程。三、 启动迅雷下载adobe reader（约50M），并启动wireshark软件进行抓包。下载地址如下：/soft/detail/12612.html?ald启动顺序：先开启wireshark抓包，发现已存在很多数据包，再打开迅雷下载，等待下载完毕后停止抓包，将文件保存起来进行分析。发现在启动wireshark后，最初经常联系的IP地址为：88和8，经过123网站查询IP，发现是韩国的IP。怀疑是本机还有联网软件未关闭，或者是当前打开的/soft/detail/12612.html?ald，下载网页有存在跟这个IP之间的数据传递，导致出现这样的数据包。1. P2P启动阶段发现IP：34与本机互动频繁，经过123IP查询得知：发现是此IP是迅雷离线服务器。还有IP：47，本机在与广东迅雷服务器通信的同时，也与这一台主机互动频繁，经查询得知：由此可得知，此IP应该属于下载资源的IP，来源于苏州，电信。除了这两个IP最频繁以外，还发现以下两个IP在P2P建立链接时，与主机互动，两个IP均属于中国电信，分别定位在江苏扬州和广东佛山。猜测是迅雷服务器为了获取在江苏苏州的网络资源，通过电信骨干网作为中转。后来资源主机与本机互动，开始数据传输过程。 由此可见，刚开始下载时候，本机与多个服务器进行DNS进行解析，当本机发送下载请求后，首先访问迅雷服务器的索引服务器，询问拥有次资源供用户下载资源的IP，并且当下载资源与P2P软件服务器不在直达的网络上时，需要经过其他服务器作为中转，最终实现迅雷服务器、主机、下载资源的链接，最终将用户要下载的资源拥有者信息返回给用户。用户收到信息后，尝试连接其中的资源，若请求失败则再次向迅雷服务器发出请求，若成功则直接开始下载。 上图为TCP帧的报头，源端口和目标端口字段标识了连接的本地端点。TCP端口加上所在主机的IP地址组成了48位的唯一断电。源端点和目标端点一起标识了一条连接。这个连接标识符就称为5元组，因为由5个信息组成：协议（TCP）、源IP地址和源端口号、目标IP地址和目标端口号。 ACK被设置为1表示确认号字段是有效的。几乎所有的数据包都会用到这个标志位。如果ACK为0，则该段不包含确认信息，所以，确认号字段可以被忽略。SYN被用于建立连接过程。在连接请求中，SYN1和ACK0表示该段没有使用捎带确认字段。但是，连接应答捎带了一个确认，因此SYN1和ACK1。本质上，SYN位被用来同时表示CONNECTION REQUEST和CONNECTION ACCEPTED，然后进一步用ACK位来区分这两种可能性。FIN被用来释放一个连接。它表示发送端已经没有数据需要传输了。然而，在关闭一个连接之后，关闭进程可能会在一段不确定的时间内继续接收数据。SYN和FIN段都有序号，从而保证了这两种段以正确的顺序被处理。2. P2P传输阶段通过TCP协议和ACK标示可知在下载资源时通过TCP端口和资源提供者进行三次握手的过程。三次握手过程： 如果某个进程正在该端口上监听，那么，TCP实体将入境的TCP段交给该进程处理，该进程可以接收或者拒绝这个连接的请求。如果它接收，则发送回一个确认段。正常情况下，发送的TCP段顺序如图(a)。SYN段只消耗了1个字节的序号空间，所以它可被毫无异议的确认。如果两台主机同时企图在一对套接字之间建立连接，则事件序列如图(b)。这些事件的结果时恰好只建立了一个连接，因为所有的连接都是由它们的端点来标识的。如果第一个请求产生了一个由(x,y)标识的连接，第二个请求也建立了这样一个连接，那个实际上只有一个表项，即(x,y)。然而，三次握手的实现方式有个漏洞，当监听进程接收一个连接请求，并立即以SYN段作为响应时，它必须记住该SYN段的序号。这意味着一个恶意的发送端很容易地占据一个主机资源。若恶意用户源源不断地发送SYN段请求服务器的连接，但又故意不完成连接建立的后续过程，由此可消耗掉一台主机的资源，称作SYN泛洪。使用三次握手建立TCP协议：（1） 首先由Client发出请求连接即 SYN1且ACK0 (请看头字段的介绍), TCP规定SYN1时不能携带数据，但要消耗一个序号,因此声明自己的序号是 Seqx；（2） Server进行回复确认，即 SYN1且ACK1，Seqy, ACKx+1；（3） Client再进行一次确认，但不用需要SYN，ACK1, Seqx+1, ACKy+1；（4） 建立连接。本机通过三次握手协议连接资源提供者下载任务，并且实时监控资源提供者的信息选择最优的进行下载。可以通过不同的Seq和ACK号可以看出本机在下载这个任务时与资源提供者进行请求连接和下载资源。在P2P软件下载的资源通常使用无连接的UDP协议，因为传输速率比较快。但UDP如图得知用来寻找资源点，而非用来传输数据。3. P2P释放过程下载完成时，根据FIN和ACK标示可知本机下载完成后同资源提供者采用三次握手释放资源。 为了释放一个连接，任何一方都可以发送一个设置了FIN标志位的TCP段，这表示它已经没有数据要发送了。当FIN段被另一方确认后，这个方向上的连接就被关闭，不再发送任何数据。然而另一个方向上或许还在继续着无限的数据流。当两个方向都关闭后，连接才算被彻底释放。通常情况下，释放一个连接需要4个TCP段，每个方向上一个FIN和一个ACK。然而第一个ACK和第二个FIN有可能被组合在同一个段中，从而将所需的段总数降到3个。TCP资源释放过程：当客户A 没有东西要发送时就要释放 A 这边的连接，A会发送一个报文（没有数据），其中 FIN 设置为1, 服务器B收到后会给应用程序一个信，这时A那边的连接已经关闭，即A不再发送信息（但仍可接收信息）。 A收到B的确认后进入等待状态，等待B请求释放连接， B数据发送完成后就向A请求连接释放，也是用FIN1表示，并且用ACKu+1(如图)， A收到后回复一个确认信息，并进入 TIME_WAIT 状态， 等待 2MSL 时间。 若B向A发送 FIN = 1 的释放连接请求，但这个报文丢失了， A没有接到不会发送确认信息， B 超时会重传，这时A在 WAIT_TIME 还能够接收到这个请求，这时再回复一个确认就行了。（A收到 FIN = 1 的请求后 WAIT_TIME会重新记时），因此需要等待时间。分析与思考一、 迅雷软件工作过程分析1. 用户向迅雷服务器发出下载请求。2. 迅雷服务器在互联网上检索资源，当发现可用资源以后，记录此信息到数据库。资源包括服务器资源和用户机资源。3. 迅雷服务器优化整合所有资源。4. 迅雷服务器返回资源信息给又下载请求的请户。5. 所有资源同时向下载用户传送下载内容，包括本地服务器、镜像服务器以及互联网上的用户。二、 P2P软件的工作过程（基本工作原理）1. P2P模式介绍： P2P是英文peer to peer的缩写，称为对等网或点对点技术。在P2P模式中，所有的节点是对等的（称为对等点），各节点具有相同的责任和能力并协同完成任务。节点具有很高的自治性和随意性。2. P2P模式简图：3. 集中式P2P网络：第一代P2P，代表软件Napster要求各对等点都登录到中心服务器上，通过中心服务器保存并维护所有对等点的共享文件目录信息。4. 完全分布式P2P网络：（1） 完全分布式非结构化P2P网络：第二代P2P网络采用了随即图的组织方式，利用TTL（Time-to-live）、洪泛（Flooding）、随机漫步或者有选择转发等方式搜索网络资源。（2） 完全分布式结构化P2P网络：结构化指的式P2P网络叠加层的拓扑结构式严格控制的，资源并不是随即分散存储在节点上，而是以一种使得查询更加高效的方式来存储。网络中共享内容用关键字（Key）来表示，通常使用分布式哈希表为节点和关键字各分配m位的标识符，从而将存储数据的位置信息相应地部署在确定的节点上。5. 混合式P2P网络： 混合式P2P网络吸取了集中式结构和完全分布式拓扑的优点，选择性能较高（处理、存储、带宽等方面性能）的节点作为超级节点，在各个超级节点上存储了系统中其他部分节点的信息，发现算法仅在超级节点之间转发，超级节点再将查询请求转发给适当的叶子节点。混合式P2P网络构成了一个层次式结构，超级节点之间构成一个高速转发层，可采用DHT方式组织，超级节点和所负责的普通节点构成若干层次。6. 主要实体之间的信息交互图：各个主机将本机信息发给服务器向服务器请求连接，如果有主机要建立下载任务，则向服务器发送资源请求，服务器查看记录并返回主机具有该资源的主机信息。7. 本主机根据资源提供者的信息与提供者通过三次握手建立连接，进行下载。三、 P2P模式的优点和缺点1. 资源的高度利用率。在P2P网络上，闲散资源有机会得到利用，所有节点的资源总和构成了整个网络的资源，整个网络可以被用作具有海量存储能力和巨大计算处理能力的超级计算机。C/S模式下，纵然客户端有大量的闲置资源，也无法被利用。2. 每个对等体都是一个活动的参与者，每个对等点都向网络贡献一些资源，所以，对等点越多，网络的性能越好。3. 信息在网络设备间直接流动，高速及时，降低中转服务成本。4. 不易于管理，数据的安全性难于保证。5. 对等点随意地加入或退出网络，造成网络带宽和信息存在的不稳定。四、 实验心得 本次实验跟上学期的计算机网络实验的抓包实验很相似，但是上一次主要注意的是TCP、UDP等协议的报头分析，而不是这一次分析P2P网络的工作方式。实验中先将wireshark抓包开启，再打开迅雷进行下载，发现还没开始下载的时候就已经有很多数据包的存在，并且通过IP查询还