DPI BitTorrent de huellas dactilares

Navega tus respuestas
1

Para limitar el uso de BitTorrent, debo identificar el tráfico de BitTorrent.

Para el protocolo de enlace, simplemente estoy buscando la cadena "19" y el "protocolo de BitTorrent". Si es DHT estoy buscando comandos ping o id (d1: ad2: id20).

Todo lo que estoy haciendo se puede ver en el enlace

Generalmente detecto BitTorrent en ~ quinto paquete. Pero a veces, mi lógica falla. Usé Wireshark para entender cuando no puedo etiquetar el tráfico de BitTorrent. Descubrí una sesión UDP con la primera sesión de tres paquetes como la imagen de abajo:

EstoybuscandoespecificacionesdelosprotocolosuTPyDHT,peronopuedoencontrarnadacomoeltráficoacontinuación.EstoysegurodequeestasesiónesBitTorrent,porqueeneltercerpaquete,hayunacadena"Protocolo BitTorrent".

Parece que incluso Wireshark no puede etiquetarlo como BitTorrent y muestra UDP. Mi pregunta es, ¿cuál es la regla para identificar la sesión a continuación como protocolo de BitTorrent?

    
pregunta Kadir Erdem Demir 15.09.2014 - 08:08
fuente

1 respuesta

1

Si un host tiene un solo puerto que está conectado a muchos hosts remotos y este solo tiene un número de puerto grande (por ejemplo, 50000 TCP / UDP) y lo mismo es cierto para los puertos de destino, entonces lo más probable es que se mencione host utiliza un cliente de BitTorrent. Este método puede eliminar todas las conexiones p2p, no solo BitTorrent.

En su caso, le puede interesar este tema: ¿Se pueden tomar las huellas digitales de los clientes de BitTorrent?

    
respondido por el Audap 13.10.2014 - 11:31
fuente

Lea otras preguntas en las etiquetas

¿Puede alguien escuchar las llamadas GSM con el dongle RTL-SDR si la criptografía A5 / 1 se agrieta con éxito? Implicaciones de seguridad de paquetes con un estado no válido (iptables)