北邮大三下 internet应用实验四利用抓包工具分析P2P软件的工作过程

比利时FNC新官场现形记

实验名称	分析典型P2P软件的工作过程
实验目的	利用逆向工程的方法，分析典型的P2P软件的基本工作过程。
实验完成人	schnee	实验日期	2012-05-20
实验环境	网络环境：北京邮电大学学十三公寓无线校园网络， IP地址：192.168.1.110 抓包软件: wireshark 1.6.7 P2P软件：迅雷7 实验平台：win7操作系统
实验步骤与结果分析
1.实验要求和目的使用抓包软件截获TCP/UDP端口的分组，利用逆向工程的研究方法，分析分组来学习该P2P软件的工作过程并进行描述（至少需要画出该系统主要实体之间消息交互图），进而了解P2P模式的应用的基本工作原理。 2.利用迅雷下载并用wireshark抓包从迅雷首页右侧的免费影视里大片中点击进入《精英部队2》的播放页面，其下方有一个下载，点击下载，在选择存放路径时先暂停一会，打开wireshark准备开始抓包，然后马上开始下载。由于资源比较大，我只是等小的那个资源下载后就直接暂停了下载。小资源的下载基本信息如右上图所示。可见这个资源基本都是P2P下载的。 3.通过wireshark分析P2P工作过程 3.1.过滤出DNS数据包，分析P2P的启动阶段从上图可以看出，在下载开始的时候，下载主机频繁与多个以.sandai为后缀的服务器进行DNS解析。其实www.sandai就是www.xunlei，输入即迅雷看看的。下面是再次输入www.sandai时，搜狗浏览器根据刚才的记录自动提示www.sandai即迅雷看看。这里其实涉及到迅雷的历史。“迅雷”立足于为全球互联网提供最好的多媒体下载服务，由邹胜龙及程浩先生于2002年底在美国硅谷创立。2003年1月底，他们回国正式成立深圳市三代科技开发有限公司“三代”，2005年5月正式更名为深圳市迅雷网络技术有限公司（简称“迅雷”）暨“迅雷”在大中华区的研发中心和运营中心。因此兼有sandai和xunlei两个域名。分析：这其实就是利用迅雷下载的第一步。发出下载请求时，首先访问迅雷的索引服务器（服务器可能不止一台），询问拥有此资源的可供用户下载资源的点。索引服务器搜索用户所要下载的资源的拥有者的信息列表，并将信息返回给用户。网上说一般会返回5个。这5个资源点或者是近期比较活跃的，或者是离请求主机比较近的，或者是速度比较快的。红楼论坛用户收到列表后，会尝试去连接其中的资源，如果5个都请求失败则会再次像迅雷的索引服务器发出请求。当请求成功时，则开始下载。 3.2.过滤出固定的两个IP的包，分析P2P的传输阶段当资源开始下载时，我们发现其中与本机交互最频繁的是来自天津的IP地址：202.113.47.30。下图是我们过滤出该IP地址与本机的交互包。分析：从上图可以看出，数据的交互都是本机192.168.1.110的8949端口与202.113.47.30的12792端口。不过，有一个奇怪的地方，如上图所示虽然只是设置了地址的限制并没有设置协议类型，但是却只有UDP包。通过上网查询，据说这是迅雷下载的提速机制之一，由于UDP是无连接的，所以传输速度比较快。网上又有说，断点续传技术只能用TCP协议的。我的猜想是为了提高效率，迅雷并不是一直采用支持断点续传的TCP协议。比如我在下载该资源时是周六晚上6点左右，是大家用电脑的高峰期，此时保持电脑较长时间在线的可能性比较高，所以有可能迅雷根据此可能性选择用速度快的UDP来代替TCP。更翔实的解释还有待研究请教。 3.3.观察所有抓获的包，分析P2P的运行环境观察所有抓获的包，除了DNS和UDP，可以发现期间还是间杂着不少TCP。上图是在启动的较初期，在该阶段，主机主要从211.68.115.36获取资源，但是期间还夹杂着几个TCP，但是奇怪的是，222.30.66.25，61.158.41.94，27.204.43.212在网上都查不到此IP。还有一种情况：图中所示的112.245.94.97来自山东泰安联通，182.131.73.227来自四川广安市电信。此类来自运营商的IP地址还有不少。我的理解是，这是两个主机建立连接前要经过的关卡。
分析与思考
1. 可研究和探索的内容 (1) P2P下载技术详细分析答：P2P是英文Peer-to-Peer（对等）的简称，又被称为“点对点”。“对等”技术，是一种网络新技术，依赖网络中参与者的计算能力和带宽，而不是把依赖都聚集在较少的几台服务器上。P2P还是英文Point to Point （点对点）的简称。它是下载术语，意思是在你自己下载的同时，自己的电脑还要继续做主机上传，这种下载方式，人越多速度越快，但缺点是对硬盘损伤比较大（在写的同时还要读），还有对内存占用较多，影响整机速度。其实，的确硬碟本身有老化的自身损害问题，但是与用户平时的听歌，玩游戏，看电影相比，P2P下载绝对不会导致如何加速硬碟损害的可能。 P2P充分利用了上行网络带宽。通常用户上网时主要使用网络的“下行带宽”（也就是从其他计算机到本地的带宽），比如浏览网页、下载软件等等。相比较而言“上行带宽”（从本地计算机到其他计算机的带宽）使用率非常低，而且发送的数据量一般很小，这就造成了带宽资源的巨大浪费。 P2P下载则充分利用了用户富余的上行带宽。与P2S方式正好相反，该种模式不需要服务器，而是在用户机与用户机之间进行传播，也可以说每台用户机都是服务器，讲究"人人平等"的下载模式，每台用户机在自己下载其它用户机上文件的同时，还提供被其它用户机下载的作用，所以使用该种下载方式的用户越多，其下载速度就会越快。其工作原理图为 (2) 其他下载原理答： P2S ：服务端下载技术，分为HTTP和FTP，即超文本传输协议及文本传输协议两种类型。它们是计算机之间交换数据的方式，也是最经典的下载方式。其工作原理为用户通过两种协议和提供文件的服务器取得联系并将文件下载到自己的计算机中。工作原理如右图所示。 P2SP ：智能网格技术，是对P2S和P2P技术的进一步延伸和整合，通过多媒体检索数据库这个桥梁把原本孤立的服务器和其镜像资源和P2P资源整合到了一起。这样下载速度更快，同时下载资源更丰富，下载稳定性更强。和P2S和P2P不同，P2SP除了不仅能把使用者指定的下载链接保存到动态数据库中，同时还会结合多媒体搜索引擎去寻这个文件的多个网络镜像，从而实现多服务器的下载，而不是仅仅从一个服务器端进行多线程下载。如果，互联网上存在多个服务器资源，将优先从服务器和镜像服务器下载。 (3)迅雷软件工作原理答：以此次实验为例，参照网上的一些资料，详细分析迅雷的工作原理。其中，PC1即主机192.168.1.110， PC4为202.113.47.30 。连接两者的都为联通网关。一般化地讲解如下： a)PC2登录迅雷客户端，从专用下载服务器2上下载了某影音文件。 b)这时由于PC2登录了迅雷客户端，所以专用下载服务器2和PC2上有该影音文件的信息就被传到迅雷服务器上存储下来。 c)由于不同资源的文件名等信息有可能存在差异，所以在迅雷服务器上需要给该文件设置一个md5值作为文件的唯一标识。 d)随后PC3从专业下载服务器1上下载了同样的影音文件，假设PC3之前也登录了迅雷客户端，则专用下载服务器1和PC3上有该文件的信息同样被传到迅雷服务器上，在进行md5值比较后，如果相同，则将专用下载服务器1和PC3的地址存入该文件下载信息列表。 e)PC1需要下载该影音文件时登录迅雷网页搜索资源，然后下载该资源，这时迅雷服务器会把PC2、PC3、专用下载服务器1和专用下载服务器2的地址告诉给PC1，这时PC1就可以从这些服务器或用户主机上同时下载该文件的不同部分，达到高速下载的目的。 2.实验心得这次实验初看实验指导书一下子就愣了，居然就那么几句话。老实说当时心里挺受打击的，直觉这次实验不好做。而逆向工程确实是一次挑战，这次实验也耗了我将近半天的时间。先是下载迅雷，因为我电脑里没有P2P的软件。之后在百度上下了几首几兆大的歌曲，可惜由于都是一瞬间就下完了，所以可能迅雷觉得没必要进行P2P加速，抓到的包并不能反映出P2P的工作过程。最后在迅雷上下了个较大的电影，才终于惊喜地发现了100%的P2P优化！之后就是分析抓到的包了，根据逆向工程的思想，通过分析归纳总结，来猜想迅雷的工作方式和P2P的原理。 gal芯片这次实验借助了不少外力，实验中我通过查询网络资料以及请教同学，更快地更透彻地理解了实验内容和原理。可见，资料查询能力和团队合作能力还是很重要的。佛教典籍当然，最重要的还是知识的收获，我通过这次实验对迅雷的工作过程有了较清楚的了解，对P2P等下载技术的原理也有了初步的认识。网刃总之，这次实验还是收获很大的。虽然颇为波折，但也算一分耕耘一分收获吧。