阿豪IT部落

關於部落格
電腦教學、學習、教師網誌
  • 161269

    累積人氣

  • 41

    今日人氣

    0

    訂閱人氣

P2P網路封包分析研習

        首先來認識一下p2p原名(peer to peer )中文名稱叫做點對點通訊傳輸工具
微軟的windows xp只要service pack一上之後你會在c:windowssystem32p2p.dll
找到這支程式代表windows xp也支援p2p喔! 還有vista聽說也有。
        但是p2p工具軟體本身有許多漏洞(例如foxy本身因為程式有bug所以會造成目錄共享的問題,明明就把那個勾勾拿掉了指名不要共享mydocument但是因為程式的bug還是被共享出去)也難怪日前新聞上有說~~
        簡言之p2p有三種缺點:(木馬、共享、漏洞)

        目前常見的p2p軟體工具有以下幾種:
        BitTorrent系列(BT),BitTorrent,Bitcomet,BTspirit,BitTorando等等
        eMule系列,eMule,eDonkey
        GnuTella系列(念成nutTella),GnuTella,ezPeer,Mxie
        FastTrack系列,FastTrack,Kazaa
        WinMx系列,WinMx,Winny

        p2p軟體可能影響網路安全的問題
        1.p2p工具包,可能被惡意人員放置木馬後門程式,與病毒蠕蟲。
        2.p2p軟體本身的漏洞,造成駭客入侵。
        3.使用p2p軟體時,誤將本機目錄開放共享。
        4.使用p2p下載時影音檔案,多半為mp3與mpeg,avi等等檔案,可能造成侵權行為。
        5.使用p2p下載色情影片,影響正常工作與政府形象。


以下介紹幾種常用p2p軟體的工作原理請見圖:

















以上範例圖片來自研習時自己拍下的,因為講義上沒有啦~

一般IPS/IDS的偵測方式如下:
p2p防護(如果要下載最好從官方網站下載喔!)
如何偵測?
1.p2p啟始點ip位址阻擋方式
2.Qos監控
3.keyword

p2p軟體用的東西是sha-1(512bit)(Identify number)
如BT,emule,foxy


知道工作原理之後就是如何來分析封包囉!

我們都知道網路上有許多封包分析的程式,例如sniffer pro、ethereal等等不論你用哪一種來分析都可以拉!!

最簡易有效的方式就是看UDP 53
不論你是用哪一種東西在封包中一定會去要求對方的(DNS)因此簡單的先判斷dns中有沒有如emule或是要求BT的tracker甚至是ezpeer或是foxy等字眼

第二種方法的訣竅就是:
1.亂碼不看(理由)
   他們都是binary code(data)二進位位元耶!你看得懂就要花很多時間拉!!(你那麼有空喔!)
   許多東西都被加密囉!(如tcp 22、tcp 443、tcp 3389、tcp 5621)
2.只看明碼
   所有網路通訊正常的都是明碼(例如網方傳輸也是明碼喔!雖然你有key帳號密碼哈哈!)
   輸入的使用者帳號為明碼!你會認為那我的密碼是否被看到呢?不會啦密碼用的是hashing雜湊的技術    
   啦!!
3.有一種情況大部分封包分析的軟體都是外國人寫的對於中文的編碼是不支援的因此有時候你會看到封
    包內容有一些英文看得懂有一些卻呈現亂碼,這種情況叫做亂碼二分之一肯定是中文檔案

未完待續太長......................了分成兩篇吧!!

相簿設定
標籤設定
相簿狀態