基于Wireshark的P2P流量测量和分析ppt课件

1、2021.12.21.参考文献参考文献结论与评价结论与评价实验数据分析实验数据分析处理方案和流程处理方案和流程选题要求与目的选题要求与目的.选题要求与目的2.分析P2P流量实验数据1.丈量实验室的P2P流量3.分析实验室网速慢的缘由4.提出处理方法和相关建议.参考文献参考文献结论与评价结论与评价实验数据分析实验数据分析处理方案和流程处理方案和流程选题要求与目的选题要求与目的.处理方案和流程实验环境实验环境Wireshark抓包工具抓包工具H3C交换机交换机编程环境编程环境VC6.0 win32 console C+.处理方案和流程总体流程总体流程Wireshark抓取数据包数据格式预处置P2P

2、数据包提取算法P2P流量的计算P2P流量实验数据分析得出结论和处理方法.处理方案和流程Wireshark抓取数据包抓取数据包抓包抓包包过滤包过滤数据格式预处置数据格式预处置导出数据包为文本格式导出数据包为文本格式.txt，其中会保管每个数，其中会保管每个数据包的五元组信息以及十六进制数据信息。据包的五元组信息以及十六进制数据信息。.处理方案和流程提取提取P2PP2P流量算法流程图流量算法流程图深度包检测深度包检测 针对动态端口，流量特征不能针对动态端口，流量特征不能 判别的判别的P2PP2P运用运用会聚成流会聚成流 提高算法处置效率。提高算法处置效率。流量特征判别流量特征判别P2PP2P 针对

3、针对uTorrentuTorrent等协议加密的运用。等协议加密的运用。.处理方案和流程DPIDPI深度包检测方法深度包检测方法深度包检测技术运用一个特征深度包检测技术运用一个特征库存储特征信息库存储特征信息 ，符合特征的，符合特征的数据包即视为数据包即视为P2PP2P数据包。数据包。.处理方案和流程基于流的数据包识别基于流的数据包识别什么是流什么是流一条流由一个源主机与一个目的主机间的一方向传输的一条流由一个源主机与一个目的主机间的一方向传输的网络数据包组成，其中，源和目的主机由各自的网络数据包组成，其中，源和目的主机由各自的IPIP地址地址和端口号来标识。和端口号来标识。流的特征流的特征源

4、源IPIP地址、目的地址、目的IPIP地址、源端口号、目的端口号、第地址、源端口号、目的端口号、第3 3层协议类型层协议类型( (如如TCPTCP，UDP)UDP)、效力类型、入逻辑接口标示、效力类型、入逻辑接口标示符。符。聚合方法聚合方法在一定时间内，根据源在一定时间内，根据源IPIP地址、目的地址、目的IPIP地址、源端口号、地址、源端口号、目的端口号、协议类型，进展匹配，假设一样，就划分目的端口号、协议类型，进展匹配，假设一样，就划分成一个流。成一个流。.处理方案和流程TCP流的开场时辰是其SYN数据包到达时辰，TCP流的终了时辰是其FIN或RST数据包到达时辰。UDP流超时值设置为60

5、s。即延续两个UDP数据包到达时间间隔超越60s那么以为是两个流。.处理方案和流程P2P流量特征流量特征流量大，符合流量大，符合“28原那么原那么并发端口数量很多并发端口数量很多上下行上下行P2P流量对称流量对称封包字节数大封包字节数大普通大于普通大于1200字节字节端口动态变化端口动态变化uTorrent一定时期内会不变且绝大多数都是一定时期内会不变且绝大多数都是5位数位数UDP/TCP并存并存uTorrent常用常用UDP.处理方案和流程流量的计算流量的计算PiPi是检测出的每个是检测出的每个P2PP2P包流量包流量W W是总流量是总流量%100总WPi.参考文献参考文献结论与评价结论与评

6、价实验数据分析实验数据分析处理方案和流程处理方案和流程选题要求与目的选题要求与目的.实验数据分析一天内一天内P2P流量变化流量变化00.20.40.60.817911131517192123百分比百分比时间时间(h)同一天不同时间的同一天不同时间的P2P流量百分比流量百分比.实验数据分析一周内一周内P2P流量变化流量变化00.20.40.60.81一二三四五六日百分比百分比星期星期一周内不同时间一周内不同时间P2P流量百分比流量百分比9点13点17点21点.实验数据分析P2P运用程序流量对比运用程序流量对比020406080100PPliveeMule迅雷uTorrent QQlivep2p流

7、量百分比P2P应用P2P应用流量对比应用流量对比.实验数据分析测试数据是不同时间段内截取实验室局域网内的5000个数据包，分析其中P2P数据包所占的个数。DPI检测到的P2P数据包少是由于P2P数据加密使得深度包检测难以发扬作用。端口匹配检测到的P2P数据包多是由于我们分析出了uTorrent的惯用端口。流量特征方法检测到的数据包少是上传下载的不对称，上下行流量比值难以控制。l 不同方法间对比不同方法间对比数据包数据包DPI端口端口流量特征流量特征综合方法综合方法17日13点4314632173468017日21点2370381253918日10点31631401483370.实验数据分析P2

8、P流量不同丈量方法对比流量不同丈量方法对比02040608010017日13点17日21点18日10点p2p流量百分比测试时段DPI端口匹配流量特征综合.为了验证系统的正确性，我们做了本机测试。以下图是在本机上翻开uTorrent进展P2P下载时捕获数据包进展流量分析，结果为P2P数据包个数占92.2%，流量占98.83%实验数据分析.以下图是在本机上翻开迅雷进展非P2P下载(从效力器单点下载)时捕获数据包进展流量分析，结果为P2P数据包个数占5.51%，流量占0.17%实验数据分析.参考文献参考文献结论与评价结论与评价实验数据分析实验数据分析处理方案和流程处理方案和流程选题要求与目的选题要求

9、与目的.结论和评价主要结论：主要结论：一天中中午和晚上有一天中中午和晚上有P2PP2P流量顶峰流量顶峰一周当中一周当中P2PP2P流量变化差别不大，周末有些微增大流量变化差别不大，周末有些微增大P2PP2P运用程序中主要是运用程序中主要是uTorrentuTorrent所占流量大所占流量大P2PP2P的几种测试方法中，端口分析的方法更接近实践的几种测试方法中，端口分析的方法更接近实践.结论和评价网速慢的缘由网速慢的缘由一是一是P2P流量占用带宽很大流量占用带宽很大二是容易出现上网顶峰二是容易出现上网顶峰三是实验室带宽本身很小三是实验室带宽本身很小处理方法和建议处理方法和建议尽量防止上网顶峰尽量防止上网顶峰增大带宽增大带宽评价评价本次实验已完成选题的要求，并得出相关结论本次实验已完成选题的要求，并得出相关结论.参考文献1KARAGIANNIST,BROIDOA,FALOUTSOSM,etal.Transport layer identification of P2P trafficC.IMC04,Taormina,Sicily, Italy,2004.2桑寅,孟少卿,鹿凯宁.基于DPI和机器学习方法传输层检测的P2P流量识别模型.电子