局域网中ＢｉｔＴｏｒｒｅｎｔ协议流的鉴别与控制.docVIP

局域网中ＢｉｔＴｏｒｒｅｎｔ协议流的鉴别与控制 　　摘要：本文描述了Bitcomet P2P连接的建立过程与连接中所包含的特征字符。通过对这些特征的鉴别，利用ISA2004代理服务器软件，能有效地控制甚至阻断P2P连接。在没有硬件级防火墙的条件下，保护局域网健康运行。 　　关键词：BitTorrent协议流；鉴别；控制；局域网 　　 　　1 背景 　　 　　P2P应用会使用掉局域网中大部分的网络带宽，最新的应用BitTorrent协议的P2P软件可以使用任意的端口来避免固定的端口阻挡穿越防火墙，甚至可以将封包的内容加密以隐藏P2P协议来躲避应用层内容检测。在没有硬件级防火墙的局域网中，通过对BitTorrent协议的分析，最终能做到有效地鉴别和阻止BitTorrent协议。 　　 　　2 分析 　　 　　通过分析典型P2P协议的建立过程，可以找出有效监控P2P的方法。本文中分析的软件为Bitcomet 0.84。Bitcomet不仅利用种子服务器来进行Peer间的资源共享，而且还使用一个DHT来为无种子服务器的流存储Peer信息。DHT能做到即使没有种子服务器，依然能够进行P2P的下载。 　　Bitcomet进行的P2P下载通常通过以下过程进行： 　　(1) 连接Tracker服务器，获得当前Peers列表。 　　Bitcomet通过TCP或者HTTP方式与种子服务器进行连接，从种子服务器获得当前Peers列表。请求通讯数据包中均含有以下特征字： 　　“GET /announce Info_hash”和“user-agent:BitTorrent”。 　　(2) 与Tracker服务器返回的Peers间进行BitTorrent协议握手，建立P2P连接。 　　0.60版本以前的Bitcoment所用的BitTorrent协议握手时，头信息按照以下格式： 第一个字节是19（0x13）,相临19个字节为：BitTorrent protocol[1]。在Peers间协议握手时，可以通过数据包中含有BitTorrent protocol特征确认BitTorrent协议。但较新Bitcomet对Peers间握手的P2P通讯进行了加密处理，对数据包的监控无法得到很明显的特征字。 　　但通过对通讯数据的分析，我们可以发现P2P数据流具有这样一个特征：在与同一个IP地址进行BT协议通讯时，数据包的变化从64byte到1500byte不等。可以确定的是：64byte的TCP数据包是用来保持P2P信号连接的，1500byte的TCP数据包是用于P2P流数据的传送。 　　BT通讯中，64byte的P2P信号和1500byte的数据通讯之间的转化非常频繁，这个和FTP、HTTP的通讯有非常大的区别。也就是说，通过对这个特征的鉴别，可以准确地找出海量网络流量中的Bittorrent协议通讯。 　　(3) 如果没有种子服务器或者种子服务器没有响应，Bitcoment则通过DHT方式进行P2P连接。DHT有效使用每个Peer都成了一个种子服务器。所有的DHT请求有一个“id”关键字，它的值包含了发出请求节点的节点ID，所有的回复也有一个“id”关键字。 　　DHT通讯包含以下方法： 　　Ping：一个Ping的请求或回复都有一个关键字“id”。 　　Find_Node：Find_Node用来找出ID节点的联系信息。一个Find_Node请求包含“Target”。当一个节点收到了Find_Node请求，会回复一个关键字“Node”。 　　Get_Peers：Get_Peers联合一个流数据的Info_Hash。无论有无符合的数据情况，一个“token”关键字也将包含在返回值中。 　　Announce_Peer：宣布那个发出请求的节点正在一个端口上下载。 　　DHT通讯使用不加密的明文格式，可以在DHT通讯数据包中检测到DHT请求中所有包含的关键字信息。 　　通讯中的UDP包中均包含如下特征字：（所有的DHT方法均有的） 　　本地→远程：“d1:ad2:id20” 　　远程→本地：“d1:rd2:id20” 　　 　　3 控制与对策 　　 　　通过对BitTorrent协议的分析，我们可以通过阻止服务器间的文件信息交互来达到限制BT下载，甚至阻断BT下载。 　　通常我们使用ISA作为局域网代理服务器软件。ISA2004能针对应用层数据进行过滤和检测――HTTP签名阻止。当阻止特定的签名时，本质上是阻止在 HTTP 上进行隧道通讯的应用程序，并且以在请求头、请求正文、响应头和响应正文中的特定模式为特征。 　　对于与种子服务器或DHT通讯过程：设置HTTP签名阻止功能。通过对BitTorrent协议