下の画像のトラフィックがP2Pファイル共有である場合、解決しようとしていますか?
送信元ポートがすべてランダムであることに気付いた場合、c.port 58338からの17.24の時間は、約400パケットで十分な長さになります。これがwiresharkのp2pトラフィックかどうかを識別する方法はありますか?
これはフォレンジックの課題であるため、実際のネットワークトラフィックのようには見えません。ポートスキャンのようにも見えるので、これはp2pネットワークトラフィックを識別する方法に関する質問の詳細です。
Gnutellaや他のP2Pプロトコルではなく、BitTorrentについて話していると思います。
BitTorrentトラフィック用の標準ポートはないため、いくつかの掘り下げを行う必要があります。
まず、BitTorrentは一連のトラッカーと通信します。この通信はHTTPを介して行われ、(少なくとも)次のヘッダーが含まれます。
info_hash
-メタデータ(.torrent)ファイルのURLエンコードされたハッシュ。peer_id
-URLエンコードされたランダム文字列。port
-クライアントがリッスンしているポート番号-後でフィルタリングするのに役立ちます!ただし、これはHTTPSを介して行われる場合があるため、検出が少し難しくなります。ポート80または443で発生するトラフィックを探す必要があります。
次に、ピア間のトラフィックを探します。ピアハンドシェイクは、簡単に検索できるヘッダーを提供します。
<pStrLen><pStr><reserved><infoHash><peerId>
pStrLen
フィールドは、pStr
がバイト単位である時間を示し、pStr
はプロトコル識別子です。通常、これは「BitTorrentプロトコル」であるため、pStr
は19になります。したがって、13 42 69 74 54 6f 72 72 65 6e 74 20 70 72 6f 74 6f 63 6f 6c
で始まるパケットを検索できます。
一部のBitTorrentクライアントは暗号化されたクライアントツークライアントプロトコルをサポートしていますが、フォレンジックチャレンジではそれほど大雑把ではないでしょう。
ソース: http://wiki.theory.org/BitTorrentSpecification
パッシブ統計分析を使用して、暗号化されたBitTorrentトラフィックを識別することが可能です。 Erik HjelmvikとWolfgang Johnは、BitTorrentを含む暗号化された通信プロトコルを分析する手法を示しました。 その論文 の表5.4は、MSE(暗号化されたBitTorrent)の信頼レベルが0.965であることを示しています。セクション6.1では、分析の詳細について説明し、比較的簡単に識別できるいくつかのプロパティについて説明します。
P2Pではなく、LAN上の2つのホスト間の通信のように見えます。実際、これはすべての人気のあるTCPポートにヒットする「セキュリティ」ツールによるポート/サービススキャンのようです。