使用Snifferpro查看Bittorrent协议

《使用Snifferpro查看Bittorrent协议》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、使用Snifferpro查看Bittorrent协议最近一段时间，一直在学习Sniffer软件，在实际学习使川过程中，对网络流量中存在的Bittorrent协议产生的流量非常感兴趣，故突然想要通过Sniffer來查看网络屮的Bittorrent流量是那些地址产生的。下文就是针对此目的进行的试验。BitTrrent（简称BT,比特洪流）是一个文件分发协议，它通过URL识别内容并且和网络无缝结合。它在HTTP平台上的优势在于，同时下在一个文件的下载者在下载的同时不断互相上传数据，使文件源可以在很冇限的负载增加的情况卜支持大量下载者同时下载。一般情况下，我们可以在Sniffer中添加相应要监控服务

2、的端口号实现流量的监控，同样的我们可以定义BitTrrent所使用的端口号实现监控（比方6881）,但是我们都知道，通常BitT“ent使用的端口号是可以进行自定义的，所以使用端口进行监控比较粗糙，并不准确。针对这样的特点，发现使用applicationsignature方法來监控BitTrrent的流暈实用而且准确。经过查阅相关资料，发现BitTrrent协议的握手消息格式中有如下特征：＜字符（1字节）〉〈字符串（19字节）＞，其中第一个字节是固定的值T9',并且后面字符串的值是'BitTorrentprotocoV。山此我们可以使用如下此握手签名信息进行标识BitTorrent流量的数据

3、包：1、第1个字节的字符19（0X18）在TCP的有效负载数据中;2、这后面的19个字节匹配字符串'BitTorrentprotocolJ。针対以上BitTrrcnI协议特征，我使川如下方法进行抓取BitTrrent协议使川者的地址信息:实验步骤：步骤1、打JFSnifferpro软件。步骤2、设置过滤器的地址信息，设置相应源目的地址信息。图】监控地址设宜步骤3、设置过滤签名信息（这个是好东西）。上面说了那么多，这个才是最重耍的。签乳信息(Bitlorrcntprotocol)的16进制代码偏移值】由丁耍曲控的KitIorrcnt协议的签厲在TCP数据中•英签名地址山数据包的偏移地址36（1

4、6进制）开始图2过滋条件设置步骤4、设置捕获协议，由于BitTorrent协议采用TCP传输，故只监控TCP协议即可。?lxlSwearyAddr・强DataPatternAdvancedBufferXELLDDefineFilter-Capture厂厂厂厂厂厂厂&厂一ICMPIGMPIGRP/EIGRPIP-VIHESPacketTyperPcktt3Allsizts✓Normal二CRCError□JobberzJCJBtloii&tptolocolC.Ema)Lpa$5wocdC^Test・Default由于Bitlorrcnt协议采用TCP传输数据故只需要针对TCP协议进行监控确定]

5、职消Profile•・图3监控协议设置步骤5.好了，过滤器设置好了，看看摘要信息吧，一目了然把。图4捕获摘要信息步骤6、一切准备妥当，开始捕获。捕获到的数据如下所示:，1O1xJSnifferPortable-lord.Ethernet(line«p

6、D-2S677S-2J--/orACK-2S71376347CPCPCFCFCPTTTTTCKecksM・UrgentpointerKoTCPopm空z!ooomooOOODOOIO0000002000000030OOOOOC40000000^0000000600000007000e04c<2cttl00DO3d9t340008093d3gb5644d?♦Ctft$7r.1^00OC13742070726f748f00007349・321・26dfO33d38822652731efi7bb3ac4411dd4e116b08004：.OC眺"06(0e$cDa8007Bdaba•379W05b

7、O$b4$$0IE63St6匚6578000000DO•189d6d«3>8137c88<7862630038eS48elc67a7a©cTCP数据中的签名信息BitToircntprotocolExpM入Xo.0•(WoFIN)6SS3S・6704(correct)人Matrx入HostTatote入ProtocciOst.入SUtisbcs/F•H・；Ji.,Fl的AZ从这矩阵图形中可以沽曝的剖凍内网中