如何查找网络中的BT流量,使用协议分析仪PE的经验
2006-08-15    技术部   
打印自: 安恒公司
地址: HTTP://honeypot.anheng.com.cn/news/article.php?articleid=894
如何查找网络中的BT流量,使用协议分析仪PE的经验

BT全名为Bit Torrent,是一个P2P软件,与传统FTP、HTTP等下载方式不同,使用BT的人数越多,速度越快。传统的FTP、HTTP是把文件由服务器端传送到客户端,这样会出现一些问题:用户数量的增多要求高带宽和服务器的高性能,也会影响到服务器的稳定性,因此很多服务器都会有用户人数的限制、下载速度的限制,这样就给用户造成了诸多的不便。而BT从根本上解决了这个问题,BT采用的是一种类似传销的方式来达到共享,在下载的同时,也在为其他用户提供上传,所以不会随着用户数的增加而降低下载速度。使用非常方便,其特点简单地说就是:下载的人越多,速度越快。

如果多个用户同时使用BT进行下载,会占用大量网络带宽,严重影响其他用户的正常工作。人员苦于没有方式方法去监控管理,造成情况越发严重,妨碍正常业务的使用。因此,在一些环境下完全有必要严格限制用户的BT下载流量或完全禁止BT下载。

为了限制BT的应用,必须及时地查找网络中使用BT下载者,减少网络中的垃圾流量,下面介绍两种不同类型的方法。

一、基于应用端口进行查找

首先,通过交换机SNMP功能,查看每个交换机端口的流量,看哪个端口的利用率比较高,再看端口所连接设备的情况。靠经验判断其流量是否合法。要求:所有网络设备为智能设备,SNMP功能要打开。由于属于实时查看,又不了解其高流量具体内容是什么,判断结果也不会准确,只能作为参考定位。常用BT端口(包括tcp和udp)有1881~1889;4661,4662,4665,4672,4711;6881~6999;77771~7999;8881~8999;16881~16999;18881~18999。

然后利用协议分析仪或软件接入主干链路或广域网出口,查看端口的应用情况,看谁使用此类的应用。但是BT的应用端口是可以自定义的,如果用户把应用端口修改之后,这个方法就没有效了。

二、基本BT的协议行为进行协议分析

首先,需要在适当的位置连接具有协议分析功能的仪表对流量进行监听。通过常要选用合适的接入位置,可以是广域网路由器的前后端接口接入广域网分析仪。接入技术有很多,可以利用TAP(三通)连接器,也可以在网络设备中采用镜像的方式将数据流量提供福禄克的网络集成分析仪。

连接完成后,要做出必要的设置。由于网络流量庞大,需要对数据进行筛选。通过在协议分析仪设置过滤器,捕捉网络中TCP信息的包,获取所有可能使用BT的信息数据,TCP是BT握手消息时使用的协议。接下来进行数据捕捉,捕捉完成后,利用协议分析软件,做了一个字符串过滤器,在该过滤器中的第19位输入,“BitTorrent protocol”字符串,对所获取的数据进行过滤。之所以使用这个字符串过滤器,是因为BT协议的握手消息是数字19后面跟字符串“BitTorrent protocol”.

通过这个过滤器,就可以捕捉到所有BT的下载者。(具体的BT相关信息可以参看http://www.bittorrent.com/protocol.html。BT协议的开发说明)

经过过滤后,大家看下面的16进制解码窗口图片,下面画红线的地方分别是BT下载者的IP地址,和他使用的BT(Bittorrent protocol)协议。

再看详细解码窗口,下面画红线的地方分别是BT下载者网卡MAC地址和IP地址。
你已经有了使用BT下载的IP地址和MAC地址了,管理网络人员很快就可以找到BT下载者了!

 

责任编辑: admin