基于Wireshark的P2P流量測量和分析ppt課件

1、2021.12.21.參考文獻參考文獻結(jié)論與評價結(jié)論與評價實驗數(shù)據(jù)分析實驗數(shù)據(jù)分析處理方案和流程處理方案和流程選題要求與目的選題要求與目的.選題要求與目的2.分析P2P流量實驗數(shù)據(jù)1.丈量實驗室的P2P流量3.分析實驗室網(wǎng)速慢的緣由4.提出處理方法和相關(guān)建議.參考文獻參考文獻結(jié)論與評價結(jié)論與評價實驗數(shù)據(jù)分析實驗數(shù)據(jù)分析處理方案和流程處理方案和流程選題要求與目的選題要求與目的.處理方案和流程實驗環(huán)境實驗環(huán)境Wireshark抓包工具抓包工具H3C交換機交換機編程環(huán)境編程環(huán)境VC6.0 win32 console C+.處理方案和流程總體流程總體流程Wireshark抓取數(shù)據(jù)包數(shù)據(jù)格式預(yù)處置P2P

2、數(shù)據(jù)包提取算法P2P流量的計算P2P流量實驗數(shù)據(jù)分析得出結(jié)論和處理方法.處理方案和流程Wireshark抓取數(shù)據(jù)包抓取數(shù)據(jù)包抓包抓包包過濾包過濾數(shù)據(jù)格式預(yù)處置數(shù)據(jù)格式預(yù)處置導(dǎo)出數(shù)據(jù)包為文本格式導(dǎo)出數(shù)據(jù)包為文本格式.txt，其中會保管每個數(shù)，其中會保管每個數(shù)據(jù)包的五元組信息以及十六進制數(shù)據(jù)信息。據(jù)包的五元組信息以及十六進制數(shù)據(jù)信息。.處理方案和流程提取提取P2PP2P流量算法流程圖流量算法流程圖深度包檢測深度包檢測 針對動態(tài)端口，流量特征不能針對動態(tài)端口，流量特征不能 判別的判別的P2PP2P運用運用會聚成流會聚成流 提高算法處置效率。提高算法處置效率。流量特征判別流量特征判別P2PP2P 針對

3、針對uTorrentuTorrent等協(xié)議加密的運用。等協(xié)議加密的運用。.處理方案和流程DPIDPI深度包檢測方法深度包檢測方法深度包檢測技術(shù)運用一個特征深度包檢測技術(shù)運用一個特征庫存儲特征信息庫存儲特征信息 ，符合特征的，符合特征的數(shù)據(jù)包即視為數(shù)據(jù)包即視為P2PP2P數(shù)據(jù)包。數(shù)據(jù)包。.處理方案和流程基于流的數(shù)據(jù)包識別基于流的數(shù)據(jù)包識別什么是流什么是流一條流由一個源主機與一個目的主機間的一方向傳輸?shù)囊粭l流由一個源主機與一個目的主機間的一方向傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)包組成，其中，源和目的主機由各自的網(wǎng)絡(luò)數(shù)據(jù)包組成，其中，源和目的主機由各自的IPIP地址地址和端口號來標識。和端口號來標識。流的特征流的特征源

4、源IPIP地址、目的地址、目的IPIP地址、源端口號、目的端口號、第地址、源端口號、目的端口號、第3 3層協(xié)議類型層協(xié)議類型( (如如TCPTCP，UDP)UDP)、效力類型、入邏輯接口標示、效力類型、入邏輯接口標示符。符。聚合方法聚合方法在一定時間內(nèi)，根據(jù)源在一定時間內(nèi)，根據(jù)源IPIP地址、目的地址、目的IPIP地址、源端口號、地址、源端口號、目的端口號、協(xié)議類型，進展匹配，假設(shè)一樣，就劃分目的端口號、協(xié)議類型，進展匹配，假設(shè)一樣，就劃分成一個流。成一個流。.處理方案和流程TCP流的開場時辰是其SYN數(shù)據(jù)包到達時辰，TCP流的終了時辰是其FIN或RST數(shù)據(jù)包到達時辰。UDP流超時值設(shè)置為60

5、s。即延續(xù)兩個UDP數(shù)據(jù)包到達時間間隔超越60s那么以為是兩個流。.處理方案和流程P2P流量特征流量特征流量大，符合流量大，符合“28原那么原那么并發(fā)端口數(shù)量很多并發(fā)端口數(shù)量很多上下行上下行P2P流量對稱流量對稱封包字節(jié)數(shù)大封包字節(jié)數(shù)大普通大于普通大于1200字節(jié)字節(jié)端口動態(tài)變化端口動態(tài)變化uTorrent一定時期內(nèi)會不變且絕大多數(shù)都是一定時期內(nèi)會不變且絕大多數(shù)都是5位數(shù)位數(shù)UDP/TCP并存并存uTorrent常用常用UDP.處理方案和流程流量的計算流量的計算PiPi是檢測出的每個是檢測出的每個P2PP2P包流量包流量W W是總流量是總流量%100總WPi.參考文獻參考文獻結(jié)論與評價結(jié)論與評

6、價實驗數(shù)據(jù)分析實驗數(shù)據(jù)分析處理方案和流程處理方案和流程選題要求與目的選題要求與目的.實驗數(shù)據(jù)分析一天內(nèi)一天內(nèi)P2P流量變化流量變化00.20.40.60.817911131517192123百分比百分比時間時間(h)同一天不同時間的同一天不同時間的P2P流量百分比流量百分比.實驗數(shù)據(jù)分析一周內(nèi)一周內(nèi)P2P流量變化流量變化00.20.40.60.81一二三四五六日百分比百分比星期星期一周內(nèi)不同時間一周內(nèi)不同時間P2P流量百分比流量百分比9點13點17點21點.實驗數(shù)據(jù)分析P2P運用程序流量對比運用程序流量對比020406080100PPliveeMule迅雷uTorrent QQlivep2p流

7、量百分比P2P應(yīng)用P2P應(yīng)用流量對比應(yīng)用流量對比.實驗數(shù)據(jù)分析測試數(shù)據(jù)是不同時間段內(nèi)截取實驗室局域網(wǎng)內(nèi)的5000個數(shù)據(jù)包，分析其中P2P數(shù)據(jù)包所占的個數(shù)。DPI檢測到的P2P數(shù)據(jù)包少是由于P2P數(shù)據(jù)加密使得深度包檢測難以發(fā)揚作用。端口匹配檢測到的P2P數(shù)據(jù)包多是由于我們分析出了uTorrent的慣用端口。流量特征方法檢測到的數(shù)據(jù)包少是上傳下載的不對稱，上下行流量比值難以控制。l 不同方法間對比不同方法間對比數(shù)據(jù)包數(shù)據(jù)包DPI端口端口流量特征流量特征綜合方法綜合方法17日13點4314632173468017日21點2370381253918日10點31631401483370.實驗數(shù)據(jù)分析P2

8、P流量不同丈量方法對比流量不同丈量方法對比02040608010017日13點17日21點18日10點p2p流量百分比測試時段DPI端口匹配流量特征綜合.為了驗證系統(tǒng)的正確性，我們做了本機測試。以下圖是在本機上翻開uTorrent進展P2P下載時捕獲數(shù)據(jù)包進展流量分析，結(jié)果為P2P數(shù)據(jù)包個數(shù)占92.2%，流量占98.83%實驗數(shù)據(jù)分析.以下圖是在本機上翻開迅雷進展非P2P下載(從效力器單點下載)時捕獲數(shù)據(jù)包進展流量分析，結(jié)果為P2P數(shù)據(jù)包個數(shù)占5.51%，流量占0.17%實驗數(shù)據(jù)分析.參考文獻參考文獻結(jié)論與評價結(jié)論與評價實驗數(shù)據(jù)分析實驗數(shù)據(jù)分析處理方案和流程處理方案和流程選題要求與目的選題要求

9、與目的.結(jié)論和評價主要結(jié)論：主要結(jié)論：一天中中午和晚上有一天中中午和晚上有P2PP2P流量頂峰流量頂峰一周當(dāng)中一周當(dāng)中P2PP2P流量變化差別不大，周末有些微增大流量變化差別不大，周末有些微增大P2PP2P運用程序中主要是運用程序中主要是uTorrentuTorrent所占流量大所占流量大P2PP2P的幾種測試方法中，端口分析的方法更接近實踐的幾種測試方法中，端口分析的方法更接近實踐.結(jié)論和評價網(wǎng)速慢的緣由網(wǎng)速慢的緣由一是一是P2P流量占用帶寬很大流量占用帶寬很大二是容易出現(xiàn)上網(wǎng)頂峰二是容易出現(xiàn)上網(wǎng)頂峰三是實驗室?guī)挶旧砗苄∪菍嶒炇規(guī)挶旧砗苄√幚矸椒ê徒ㄗh處理方法和建議盡量防止上網(wǎng)頂峰盡量防止上網(wǎng)頂峰增大帶寬增大帶寬評價評價本次實驗已完成選題的要求，并得出相關(guān)結(jié)論本次實驗已完成選題的要求，并得出相關(guān)結(jié)論.參考文獻1KARAGIANNIST,BROIDOA,FALOUTSOSM,etal.Transport layer identification of P2P trafficC.IMC04,Taormina,Sicily, Italy,2004.2桑寅,孟少卿,鹿凱寧.基于DPI和機器學(xué)習(xí)方法傳輸層檢測的P2P流量識別模型.電子