北邮大三下internet应用试验四利用抓包工具分析P2P软件的工作过程

1、精品文档就在这里各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有实验报告实验名称分析典型P2P软件的工作过程实验目的利用逆向工程的方法，分析典型的P2P软件的基本工作过程。实验完成人schnee实验日期2012-05-20实验环境网络环境：北京邮电大学学十三公寓无线校园网络，IP地址:192,168.1.110抓包软件：wireshark1.6.7P2P软件：迅雷7实验平台：win7操作系统实验步骤与结果分析0.实验要求和目的使用抓包软件截获TCP/UDP端口的分组，利用逆向工程的研究方法，分析分组来学习该P2P软件的工作过程并进行描述（至少需要画出该系统主要实体之间消息

2、交互图），进而了解P2P模式的应用的基本工作原理。1.利用迅雷下载并用wireshark抓包从迅雷首页右侧的免费影视里大片中点击进入精英部队2的播放页面，具下方宿一个下载，点击吓载，在选择存放路径时先暂停一会，打开wireshark准备开始抓包，然后马上开始下载。精品文档精品文档就在这里各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有资只资接源息人气榜大片同if抢先经典m巴繇宝贝邓06杀手欧巴苴数EQ饭局也氮狂（07精英手队2；差.凶永恒谆匡情08夏日喝这三。4一夜未了情口，09送死（死亡大礼）OS东成西就20L.10床X有人（人源比是等源下暂停的下如右示。资源基本都是P

3、2P下载的。-I.视眼憎息基本信息犯费招觇_2.jw4,L6MB已第决死错下或数据柬海O000B3雉城服务招U睡0.00BO迅雷PNPilQiS16MBQ高速瑚勖雌D.OOB"离线下盟睡000B由于较大，我小的那个载后就直了下载。小资载基本信上图所可见这个2.通过wireshark分析P2P工作过程2.1. 过滤出DNS数据包，分析P2P的启动阶段而布热船加工11。t|Exssaor.(Cleary;MaVeSouTreCe5tpa:'orfrcaoc*lengthEnic581glJI.961W192.168.1J1O10,3J+4DNS80stmdirdqueryA581

4、酩41.96948510.J.S.JUMLliDONS239StiindardQueryrecconseA58-2RJM封5BH77ZJ叫那103.9.4DNS飞standarcqueryAkbSeM5A310J2.19604B103.9.J192.16S.1.110DNS321StandarccteryrescnseC.Whi岸匕翻Mknet412M29.242.16B1123.129.Si4a145.OM1OI1电16&LU0DNS丐standarccteryAls.Jinshan.coi迪访打加:诩10.3.9.J1S2.1684.11DDNS552Standar

5、dqueryresponseA114.112.36.HA11A145862732534(192,168,1.HO口心-7StandUrdqueryAkankamxnrileh照鼠g10.3.9.J192.1661,110DNS267StandardqueryresponsecA60.ZL7.J35.139A60.ZL；5旗g52J6625710103,3.4DNS83standarcquery；5.nc：.rie.xun-ei.ci3in56转17?,701763103,4.4L92.168.LU0DNSiC

6、5StandarcCLery咋=割下已匚0HE1印上3睢目.卬.$即由。团M122,14L5.75Aifi.湖优钝3加1时L110103,9+4ONSPstandzrcaeryal/iathfs,corJB门1射*41田10.3,9,J192.160.1.UDDNSr4starxlrc日y-esp&nse(a*ievi,c(xr.lidrs-tjcw；JfaiMs-z.5172ss1*94923101GJ.9.4ONSystandarc：queryA1网in,sir】sr.口5A726SJHWEDO103.9,19Llta,l.U0DNS229Standarcqu

7、eryresponseA2Q2.2)5J.il5C77S讯腐旃192.168.1,11010.3.9,4DNS72StandarcqueryA5B7S2>4.374019192.16*.1.110DNS199StandarccueryresDenseA221KCa讯2处400192.18.1,110103.9.4DNS3StandarctteryAvrw.jiatNs.ccaM847M.44M4710.3.9.J192.1fi,1.110DNS376standardqueryresponsecmmlMMjiathk.unJxdns.coioiaktmn.jiaihis.;

8、SSEfifiM.B7OO39192.168,1.110103.5.40N5-4Standarcquery；k.lathis.cor5A&B7辑57的5310.3.J192.1M1U0DNS244StandarcqueryresponseA1B2.5D.j.137A102.5C.C.1C6粥K斯普.蜡1诉192,H8.L11QJ.0,，力4N5?staiKlarcaueryA2ffL2。5:11叫i&s*匚丸弓由血3史5耶邪$5.07苒的10.3.9.J0N5社3standardqueryresponse。阉别ElogiLqw,cn,sandai国或A125,39,14,61a

9、12：59D215S.U96&19&滤门10103.9.4朔63Stand5rcqueryxapll,karkar.xuniei.cwi59QJ4钻门4E羽710.3.9,-192,lfa,l.UDONS2T5Stand5rcauer/ressonsedAMEtwinOiesandal.reta125,及2205国77般j9”施19MGL1.U0io.i.g.4ONS飞stmndardqueryA对2TB必H&G纤lO.i.9,192.1Ea,l.U0DNS255StandarccueryresoofiseCUMEG6：D.sarwlai,-e：A122,i-3,1.1

10、60从上图可以看出，在下载开始的时候，下载主机频繁与多个以为后缀的服务器进行DNS解析。其实wwwsandainet琳是wwwxunleiccm输入即迅雷看看的官方网站。下面是再次输入wwwsandainet时;搜狗浏览器根据刚才的记录自动提示即迅雷看看官网。这里其实涉及到迅雷的历史。“迅雷”立足于为全球互联网提供最好的多媒体下载服务，由邹胜龙及程浩先生于2002年底在美国硅谷创立。2003年1月底，他们回国正式成立深圳市三代科技开发有限公司“三代”，2005年精品文档精品文档就在这里各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有5月正式更名为深圳市迅雷网络技术有限公司

11、（简称“迅雷”）暨“迅雷”在大中华区的研发中心和运营中心。因此兼有和两个域名。,!迅香茸-中国第一高宿彩概口户量新电影和最新电崛在淑睛分析：这其实就是利用迅雷下载的第一步。发出下载请求时，首先访问迅雷的索引服务器（服务器可能不止一台），询问拥有此资源的可供用户下载资源的点。索引服务器搜索用户所要下载的资源的拥有者的信息列表，并将信息返回给用户。网上说一般会返回5个。这5个资源点或者是近期比较活跃的，或者是离请求主机比较近的，或者是速度比较快的。用户收到列表后，会尝试去连接其中的资源，如果5个都请求失败则会再次像迅雷的索引服务器发出请求。当请求成功时，则开始下载。2.2. 过滤出固定的两个IP的

12、包，分析P2P的传输阶段当资源开始下载时，我们发现其中与本机交互最频繁的是来自天津的IP地址：0o下图是我们过滤出该IP地址与本机的交互包。Filtersip.iddr-1E2.16£1.1WBUiip.ddr-3G2.113.4730No.TinnieScuirce9&2O11ZC.0Z3304096202126.023493192J68.I.1L09&2O3126.D2J905202.11J.47.309&2O41Z6.0Z4461Z02.113.47.JO96205126.O246EO

13、L09&2OG1ZG.0250LOZ0096207l?6.0?5?I202+11S+47.109b2OB126.D2M721»2.16&.1.110学KU9I球.UhBld202,113.4JU96210126.026235202.11B.47,3096211IZC.DZCBSZ192.16&.i.lLO962121?6.076852202+113+47.1096213126.027004192.16&.1.1L096214126.027314096215126.027£)12202113.47r.

14、m96216IZO.OZSOiE192.13B.1.1LQ96217126.02842709621S126.02fi?i3202,113,47.JQ96219126.029012192416841411096220126.D2948G0962ZL1Z6.0JD011Z009222126.030121L0962Z3lZG.O3D4aBZOZ.113.47.30962241?6,031043202.111477。96225126.0311SeL0962261Z6,0H6Z0202.114

15、7.iO06227126.0B2152202.11B.47.3095ZZS126.O326L2202*113,47.JODtsLmaticn192.1M,1.110202-113-47.30192.16«.Ltlia192,lot,1.HD0192.lee；,IpHO202.11J.47.30192.16£,1.110,168.111。00192,163,1.110192.16G.1.110202.1LJ.47.3Q192.16fi.1.110192,163,1.1100192k

16、16£.1.110202.112.47.B0192,163,1.110192.16fi.1.110010192.16«.L.110192.16S.1.110EKpreciiene.Clear."'ppiProtocolLengthInfo1479Sourceport79sourceport148。sourceport1482sourcepert79Sourceport13235ourLt!port?45sourcepnrr79Sourceport1481sourcepert241Sourceport80bounc

17、eport14gosourceportSOsourceport1321sourcepertIdB2SourceportT3sourceport14Risourceporr1479sourteport79sourceport1479jourccport1482sourceperr79Sourceport1480Sour'Lt!port1481sourceport79sourceport1479sourceport1481TouresportDPDPmwRknpDeDPWWADPDPDPWMDPDPwwDPDPMWDPDPUUUUUUUUUUUUUUUUUUUUUUUUUUUudp1479

18、sourceport1Z792Destinationport;8949894gDestinationport:1279212792DestinationportiBM91Z792Desrlnarionport:8949&94QDastinationpert:127521Z792Destinationport;89491J792Destinationport:E949B949Destinationport:1279212792Destlnationport:E躺912792Dastinatiohporti8949B949D«st1nai1onporr:127rmz12792D&

19、amp;sfinationport!EM98949Destinationport;12F9Z12792Destinationport:8M912792Dastinationport:S949B949Destinationport:127921?Q?narinnprrr:BQ4Q12792Destinationport;6949B949Destinationport:1279212792Mstinationport:B54912792E)est1narionport:949S9J9D«stinationpertr1279212792Destinationport;694912792De

20、stlnationport:8弘9B949Destinationport:1279212792Destlnationport!E44912792nationport:894912792E&tlnaLlonpore；6949精品文档精品文档就在这里各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有分析：从上图可以看出，数据的交互都是本机10的8949端口与0的12792端口。不过，有一个奇怪的地方，如上图所示虽然只是设置了地址的限制并没有设置协议类型，但是却只有UDP包。通过上网查询，据说这是迅雷下载的提速机制之一，由于U

21、DP是无连接的，所以传输速度比较快。网上又有说，断点续传技术只能用TCP协议的。我的猜想是为了提高效率，迅雷并不是一直采用支持断点续传白TCP协议。比如我在下载该资源时是周六晚上6点左右，是大家用电脑的高峰期，此时保持电脑较长时间在线的可能性比较高，所以有可能迅雷根据此可能性选择用速度快的UDP来代替TCP更翔实的解释还有待研究请教。2.3. 观察所有抓获的包，分析P2P的运行环境观察所有抓获的包，除了DNS和UDP,可以发现期间还是间杂着不少TCRIJ1.365767蛇Sou"&port：3站。DiStlnationport:161575S941.3B4HB222.30.6

22、C.251虻JEML110TCP54TC®Pre-.iMJ53«gmentloslj1293a54322l时刈Sea-31S21Ark20yin-£如。Len-0lit.bii.ll!.：b15；AM.1.110LDPiou晚port:M+ai烟in扰lorparr:幽ag5乃效41.就邮85211.61115.36mi6«.i.noLDP14t0sourceport!10381Dfisr;natiorf)ort!3949575WJ1.3BS241L92.lfiLl.L102U.M.115.36LDP40Sourceport:蚪4gteitlnation

23、port：1兆fil575W41.3BK50B2H.6a.llS.2e10UDP13'1Sourceport!10381nationport!41.61.15B.41.94192.1flfi.l.U0TCP54115'2>M35fiAlK贤q=：淤：.虬&=3整峭r=54上肛Ld-0579541.3BM492U.65.115.361A2.16S.1.H0LDP194sourceport:10581wsrinatior加收：匕相957烟4L湖沏19MU.1.1L0211.115.36呼?1Sou"电port：制融义1"1*加po

24、rtJ103S15'59-41.38MB27.2M.43.212igi.i.uoTCP“10Ji>ACK£叫"581Acbl站£krin-£6&J&Lfir>C5叮蛤41.192.166.bHO27.2M.43.212TCPIFS4493?1DM1F5Hr被对晶沪的招AlL=J4347-«(n=V280Ler=1215站的413109.211.ba.lli.Sbi叱itjKi.n。U0PI4tiport:idjaioestTnatiorport:swu5'6Cj211.63.115,-6LDP14&#

25、163;2soufceport:10381%v？natioruorr:映9上图是在启动的较初期，在该阶段，主机主要从6获取资源，但是期间还夹杂着几个TCP但是奇怪的是，5,4,12在网上都查不到此IP。还启种情况：57皿41.02526192.lfil.LELOPHsoiree-portToestlnirlbnport:194S57娜41.622771101朋.1110iU.6S.lii.3ibOP即Sarcepart:3S49晒timdonport:加祖57州4L初睡1UZ工斌9

26、TKP5-2TCPPrnious»g«ertlost1367>W如PSH.设工立地kMTK。广=茹双l4信运57皿41.C2BKH2.168.1,1107TCPXPcupAO.5.晚叫5J49：>I指7g麻就施二及网世国揖iiM72B0LEr=C5LETFV三於可K55：皿4LE2W92n.fia.n53t1W.1M.1.U0IAP1*31Sourceport:KBElnationport!83495弓把口.岳儿飞211.6S.U5.16LDP1i51Sourceport:1的肚%式”ationport:EM?5790041.硒网W2.0

27、.1X0211国.111得UDPSourceport：啊9wstinstiorport:10381579014L©72(W2U.68,H536匈.速,L11。RPWsourceport：1的El泗tinationport;弼95?盹41.硒物m.阻HS，邦IDP144!sartiport；训知ocsrinativiport:啊9工必】尿缸西1必1瓯LLWrn.68,mj6LDP期sownport:腆9Dutinatiorport:57S0441浦29515112.161,11018273.227TCP讣酒5站>S)7fF：N,虬05t：4Ei胴«in=i71-aIE印

28、579QHLf：m211,题115J6ISMfiLHDLDPsourceport:USE1Desiinationport:制9图中所示的7来自山东泰安联通，27来自四川广安市电信。此类来自运营商的IP地址还有不少。我的理解是，这是两个主机建立连接前要经过的关卡。分析与思考精品文档精品文档就在这里各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有1.可研究和探索的内容（1）P2P下载技术详细分析答：P2P是英文Peer-to-Peer（对等）的简称，又被称为“点对点”。“对等”技术，是一种网络新技术，依赖网络中参与者的计算能力和

29、带宽，而不是把依赖都聚集在较少的几台服务器上。P2P还是英文PointtoPoint（点对点）的简称。它是下载术语，意思是在你自己下载的同时，自己的电脑还要继续做主机上传，这种下载方式，人越多速度越快，但缺点是对硬盘损伤比较大（在写的同时还要读），还有对内存占用较多，影响整机速度。其实，的确硬碟本身有老化的自身损害问题，但是与用户平时的听歌，玩游戏，看电影相比，P2P下载绝对不会导致如何加速硬碟损害的可能。P2P充分利用了上行网络带宽。通常用户上网时主要使用网络的“下行带宽”（也就是从其他计算机到本地的带宽），比如浏览网页、下载软件等等。相比较而言“上行带宽”（从本地计算机到其他计算机的带宽）

30、使用率非常低，而且发送的数据量一般很小，这就造成了带宽资源的巨大浪费。P2P下载则充分利用了用户富余的上行带宽。与P2s方式正好相反，该种模式不需要服务器，而是在用户机与用户机之间进行传播，也可以说每台用户机都是服务器，讲究"人人平等”的下载模式，每台用户机在自己下载其它用户机上文件的同时，还提供被其它用户机下载的作用，所以使用该种下载方式的用户越多，其下载速度就会越快。其工作原理图为5erv«r（2）其他下载原理答：P2S:服务端下载技术，分为HTTP和FTP,即超文本传输协议及文本传输协议两种类型。它们是计算机之间交换数据的方式，也是最经典的下载方式。其工作原理为用户通过两种协议和提供文件的服务器取得联系并将文件下载到自己的计算机中。工作原理如右图所示。P2SP:智能网格技术，是对P2s和P2P技术的进一步延伸和整合，通过多媒体检索数据库这个桥梁把原本孤立的服务器和其镜像资源和P2P资源整合到了一起。这样下载速度更快，同时下载资源更丰富，下载稳定性更强。和P2s和P2P不同，P2SP除了不仅能把使用者指定的下载链接保存到动态数据库中，同时还会结合多媒体精品文档精品文档就在这里各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有搜索引擎去寻找这个文件的多个网络镜像，从而实现多服务器的下载，而不是仅仅从一个服务器端进