Разработка программы для выявления P2P-трафика

Создание конечной программы для обнаружения P2P-трафика в сети Интернет. Способы обнаружения данного вида трафика, их преимущества и недостатки. P2P как вид компьютерной сети (одноранговая сеть), которая строится на равноправии участников соединения.

Рубрика Программирование, компьютеры и кибернетика
Вид реферат
Язык русский
Дата добавления 18.03.2019
Размер файла 76,6 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Инженерно-технологическая академия

Южного Федерального Университета

Разработка программы для выявления P2P-трафика

Брилевский И.В.

Научный руководитель: Пескова О.Ю.

Содержание

  • Введение
  • Постановка задачи
  • Обзор технологии P2P
  • Области применения технологии p2p
  • Отслеживание и блокировка p2p
  • Методы идентификации пользователей P2P
  • Сравнение методов
  • Заключение
  • Список использованных источников

Введение

На сегодняшний день доля p2p трафика в глобальных сетях превысила показатель в 70%. Данный вид подключений обеспечивает достаточно высокую анонимность и защиту подключения, в связи с чем часто используется в противоправных действиях, что может потребовать его обнаружения или же блокировки.

Постановка задачи

Целью данной работы является написание конечной программы для обнаружения P2P трафика в сети. Для этого необходимо выполнить следующие шаги:

1. Найти или определить способы обнаружения данного вида трафика.

2. Проанализировать имеющиеся способы.

3. Изучить преимущества и недостатки каждого способа.

4. Выбрать наиболее подходящий способ или же составить свой, на основе изученных.

5. Подробно изучить выбранный способ обнаружения p2p трафика.

6. Составить список технологий, необходимых для осуществления данного метода.

7. Сделать алгоритм работы программы.

8. Написание программы.

В этой части работы будет выполнена только обзорная составляющая поставленной задачи. Будут описаны возможные методы обнаружения данного вида трафика, рассмотрены их сильные и слабые стороны.

Обзор технологии P2P

P2P - одноранговая сеть это вид компьютерной сети, которая строится на равноправии участников соединения. Как правило, в таких сетях нет центрального узла, который использовался бы для передачи сообщений или обмена данными между клиентами. В таком случае одновременно каждый узел является и клиентом и сервером, а организация сети подомным образом позволяет сохранить её работоспособность при любом количестве доступных узлов. Типовая топология P2P сети представлена на рисунке 1. Участников сети называют пирами от англ. (peer).

Архитектура P2P является распределённой и децентрализованной. Однако, это не отменяет того факта, что к ней не могут быть подключены некоторые серверы, например сервер, выполняющий функции авторизации клиентов, а значит реальные возможности узлов сети могут сильно отличаться. В таком случае, сеть называют частично децентрализованной.

Рисунок 1 - Типовая топология p2p.

Области применения технологии p2p

1. Пиринговая файлообменная сеть. Процесс обмена файлами при этом происходит следующим образом. Пусть у нас есть 4 пользователя Алиса, Боб, Синди и Мэлори. Участники сети загружают на своих компьютерах файлы в специальную папку, доступную другим пользователям. После чего Алиса хочет скачать фильм, с помощью специальной программы она делает запрос на скачивание этого файла, программы ищет этот файл на компьютерах других участников сети и находит его у Боба и Мэлори, после чего производится скачивание частей этого файла одновременно у обоих источников, а целостность этих частей проверяется по контрольным суммам. В этом способе применения можно столкнуться с такой особенностью p2p сети, что чем больше участников будет в сети, тем качественнее и быстрее будет соединение между её участниками во время загрузки, поскольку данная сеть децентрализованная и пользователи жертвуют часть своих вычислительных ресурсов на поддержание работы сети.

2. Пиринговая сеть распределённых вычислений. Пиринговые вычислительные сети применяются во многих областях деятельности, начиная от научных вычислений, заканчивая добычей криптовалют. Суть этого метода сводится к распараллеливанию задачи вычисления между всеми клиентами сети, что в конечном итоге позволяет добится вычислений даже более быстрых, чем на суперкомпьютерах.

3. Пиринговые платёжные системы. Относительно новый способ применения пиринговых сетей, позволяющий устроить обмен валют на основе пиринговых соединений. В данном случае валютой является её цифровой эквивалент, а его обмен происходит по пиринговой сети с высоким уровнем шифрования.

4. Обмен сообщениями. Наряду с обменом файлами пиринговые сети позволяют обмениваться мгновенными сообщениями по различным каналам связи вплоть до радиоканалов (wifi). Как правило такие сети децентрализованы и участники обмениваются сообщениями в соответствии с присвоенными каждому участнику идентификационному номеру.

5. Интернет телефония. Ещё один пример популярной службы построенной на основе p2p подключений. Известная служба Skype охватывает более 100 млн. пользователей по всему миру построена в архитектуре p2p.

6. Групповая работа. Способ применения p2p отдалённо похожий на файлообменную сеть и сеть обмена сообщений, сочетающий в себе их функционал. Такие сети предоставляются пользователям в качестве интернет туннелей, которые создают защищённые пространства для обмена сообщениями, документами, ссылками, а также помогают осуществлять поиск информации.

Особенности p2p сетей:

1. Высокая отказоустойчивость. Децентрализованность узлов сети позволяет сети поддерживать функционирование даже при потере нескольких узлов. Иными словами, сеть может функционировать до тех пор, пока заданному узлу будет куда отправлять сообщения.

2. Возрастающая мощность. Так как каждый участник сети жертвует часть своих вычислительных мощностей на работу и поддержание сети, то пропорционально числу участников растёт и её мощность, а значит улучшаются её характеристики.

3. Увеличение скорости передачи данных. Эта особенность проистекает из предыдущей, так как увеличивается число пиров, то и растёт количество возможных маршрутов доставки пакета, а также количество источников, откуда можно взять искомый файл, а значит увеличивается скорость передачи данных.

4. Сложность в защите. Защитить большую масштабируемую p2p сеть гораздо сложнее, чем аналогичную, но с сервером, в следствие чего приходится использовать такие ресурсоёмкие методы, как криптография.

Отслеживание и блокировка p2p

Предоставленные выше области применения, а также особенности пиринговых сетей позволяют сделать предположение, что p2p сети могут использоваться повсеместно, начиная от научных исследований, заканчивая незаконной деятельностью.

Так например, всемирно известная сеть туннелей Tor, используется торговцами запрещёнными веществами, оружием, а также другими людьми, ведущими незаконную деятельность. Файлообменные пиринговые сети используются для обмена нелицензионной музыкой, фильмами и другой интеллектуальной собственностью. Всё это приводит к искам со стороны властей, правообладателей и других жертв, людей, использующих p2p сети для незаконной деятельности и вынуждает специальные органы искать методы борьбы с интернет деятельностью этих людей.

Как правило, уничтожить p2p сеть практически невозможно, так как это потребует уничтожение абсолютно всех узлов, входящих в эту сеть и данных, хранящихся на них. Поэтому целесообразнее будет использовать блокировку p2p соединений, а для этого необходимо отследить использование данного способа подключения кемлибо из пользователей сети.

Методы идентификации пользователей P2P

Рассмотрим несколько известных на сегодняшний момент способов идентификации пользователей P2P сетей:

1. Метод анализа портов.

Это самый простой способ, основанный на отслеживании приложений, использующих, стандартные для P2P приложений порты транспортного уровня. Суть метода сводится к тому, что нам требуется анализировать на какой порт идёт перехваченный пакет, если его номер соответствует номеру порта из базы, то можно считать всю коммуникацию этих адресов p2p трафиком.

Для примера, приведём список распространённых пиринговых приложений и портов, используемых ими:

• Limewire: 6346 TCP/UDP

• Ares: 32285 TCP/UDP

• Edonkey: 4661 TCP/UDP, 4662 TCP

• Emule: 4662 TCP, 4672 UDP

2. Анализ протоколов.

Особенность этого метода состоит в том, что мы рассматриваем перехваченные пакеты трафика и ищем в них определённые паттерны p2p соединения. После чего делаем вывод, является ли данный трафик пиринговым или нет.

Существует несколько паттернов, которые доказаны и выведены из [9], они определяются на основе эвристических алгоритмов, рассмотрим их:

2.1 Анализ пар IP источник - цель.

Суть в том, что мы перехватываем пакеты в течение некоторого промежутка времени, а затем начинаем исследовать. Если пара IP использует оба протокола и TCP и UDP для обмена данными на протяжении всего времени общения, то их трафик можно пометить как p2p.

2.2 Анализ пар IP, Port.

Мы проверяем все IP адреса и порты источника и цели. Если количество подключенных адресов равно или примерно равно количеству используемых портов, то мы помечаем это соединение как p2p. В противовес этому можно сказать, что для тех пар в которых разница между числом используемых портов и числом используемых адресов больше 10ти, то мы можем пометить это соединение, как не P2P. Стоит отметить, что для большей эффективности можно использовать оба эти метода одновременно.

3. Анализ сигнатур пакетов уровня приложений.

Идея этого метода в том, что программа будет осуществлять поиск определённых паттернов внутри полезной нагрузки перехваченных пакетов. В большинстве случаев этими паттернами будут являться определённые битовые строки, например, строки инициализирующие подключение по протоколу http с помощью хендшейка. Затем эти паттерны будут сравниваться с базой уже известных пакетов для каждого вида приложений. При этом анализ можно выполнять как и по перехватываемому, то есть на лету пакет за пакетом, так и заранее перехваченную часть трафика.

4. Анализ поведения трафика.

Данный метод является расширенным анализом потенциального p2p трафика из предыдущей части и является набором трёх эвристических алгоритмов, взятых из [11]. Суть метода в том, что мы рассматриваем перехваченный трафик с трёх сторон: социальной, функциональной и стороны приложений. Для каждой стороны мы делаем соответствующие выводы при анализе имеющегося трафика.

Так для социальной стороны мы исследуем популярность хостов, а именно, количество их целевых IP. Если наш исследуемый адрес имеет несколько различных IP адресов назначения и чем больше их число, тем выше вероятность, что это p2p соединение.

Для функциональной стороны мы исследуем, какую роль исполняет исследуемый хост: является ли он только сервером, только клиентом или и тем и другим. В сущности, мы смотрим на количество используемых портов в соединении. Если Источник использует два или чуть более портов, то скорее всего он является сервером. Если он использует один порт источника, то скорее всего, если используется TCP, то это веб сервер или сервер чата. Если используется UDP, то это может быть один из серверов управления сетью. В иных случаях, то есть, когда в подключении используется множество портов источника, мы делаем вывод что это клиент, так как информацию они получают от большого числа других пиров.

Сторона уровня приложений. Здесь мы рассматриваем два способа: рекурсивное обнаружение и подключения без полезной нагрузки. Оба метода используются одновременно, для обнаружения p2p подключений. В первом способе мы используем особенность функционирования некоторых узлов. Так например почтовый или dns серверы используют для коммуникации одинаковые номера портов, как для источника, так и для целевого адреса, для многих подключений. Или например факт того, что специальные вредоносные приложения вроде SpamAssassin подключаются только к почтовым серверам. Во втором способе мы отталкиваемся от особенности p2p в том, что чем больше подключений без полезной нагрузки делается, тем больше шанс что это пиринговое соединение. Так как именно в этом типе соединений клиент может покинуть сеть, не отправляя служебное сообщение об этом. В то время как другие клиенты безуспешно пытаются к нему подключиться.

Сравнение методов

Каждый метод с определённой долей вероятности позволяет обнаружить факт p2p соединения. Метод анализа портов является наименее ресурсоёмким, так как не требует никакого сложного анализа, а только сравнение в соответствии с заданными данными, но в то же время он является наименее точным, поскольку номера портов могут быть использованы абсолютно разные. Метод анализа поведения траффика достаточно сложен как в реализации, так и в использовании, требуются большие мощности, чтобы позволять исследовать пакеты, не снижая скорость потока, а кроме того, его алгоритмы требуют использования вкупе с другими методами, для обеспечения высшей вероятности обнаружения p2p трафика. Метод анализа протоколов, представляет из себя золотую середину, он обеспечивает достаточную вероятность обнаружения p2p трафика, кроме того позволяет обнаружить "неизвестный" p2p траффик и не является столь сложным в реализации, не требует высоких вычислительных мощностей. Помимо этого данный способ можно углубить, используя более современные паттерны для обнаружения p2p трафика. Достаточно хорошим является метод анализа сигнатур пакетов уровня приложений. Он не требует сильных вычислительных мощностей, а вместе с этим обеспечивает высокую степень обнаружения p2p траффика, но он позволяет обнаружить только "известный" траффик, который уже внесён в базу паттернов.

программа одноранговая сеть компьютерная трафик

Заключение

Рассмотренные методы позволяют с определённой долей вероятности помочь в решении поставленной задачи. Выбрав среди них наилучший и наиболее удобный или же составив на их основе собственный метод, мы можем приступить к следующему этапу, а именно к написанию алгоритма, решающему поставленную задачу. Что в дальнейшем позволит написать необходимую программу.

Список использованных источников

1. Securitylab обнаружение P2P трафика [Электронный ресурс] - Электрон. Текстовые дан. - Режим доступа: URL: http://www.securitylab.ru/analytics/240496. php (дата доступа: 29.12.2016г.)

2. Symantec identifying P2P users using traffic analysis [Электронный ресурс] - Электрон. Текстовые дан. - Режим доступа: URL: https: // www.symantec.com/connect/articles/identifying-p2p-users-usingtraffic-analysis (дата доступа: 29.12.2016г.)

3. Stackexchange how to identify P2P [Электронный ресурс] - Электрон. Текстовые дан. - Режим доступа: URL: http://security. stackexchange.com/questions/17228/how-to-identify-p2p-onnetwork (дата доступа: 29.12.2016г.)

4. Бредихин, С.В. Диагностика p2p - Активности на основе анализа потоков NetFlow [Текст] / С.В. Брежихин, Н.Г. Щербакова. - Н.: изд-во инс-та выч. Математики и математической геофизики СО РАН, 2011. - Сc.40-51.

5. Constantinou, F. Identifying Known and Unknown Peer-to-Peer traffic [Text] / F. Constantinou, P. Mavrommatis. - MIT. - 9 p.

6. Zhang, M. Analysis of UDP traffic usage on internet backbone links [Text] / M. Zhang, M. Dusi, W. John, C. Chen. - 2009. - 2p.

7. Mingjiang, Y. Identify P2P traffic by inspecting data transfer behavior [Text] / Y. Mingjiang, W. Jianping, X. Ke, et al. - Pp.131-143

8. Dodlani, P. Detection of peer to peer applications [Text] / P. Dodlani. - 2008. - 5p.

9. Karagiannis, T. Transport layer identification of P2P traffic [Text] / T. Karagiannis, A. Broido, M. Faloursos, et al. - 14p.

10. Khan, H. Wirespeed, privacy-preserving P2P traffic detection on commodity switches [Text] / H. Khan, A. Khayam, L. Golubchik, et al. - 12p.

11. Karagiannis, T. BLINC: multilevel traffic classification in the dark. [Text] / T. Karagiannis, K. Papagiannaki, M. Faloutsos. - SIGCOMM Comput. Commun. Rev. - 2005. - Pp.229-240.

Размещено на Allbest.ru

...

Подобные документы

  • Исследование основ метода движения трафика в сети. Ознакомление с IP адресацией и IP пакетами, протоколами. Определение понятия и функций сокета. Создание программного приложения мониторинга трафика (поступления и отправки пакетов между абонентами).

    курсовая работа [474,7 K], добавлен 20.04.2015

  • Разработка структурной схемы компьютерной сети. Планирование топологии сети, настройка серверов. Принципы распределения IP-адресов. Расчет удвоенной задержки распространения сигнала. Моделирование потоков трафика в сети. Сетевые протоколы, их особенности.

    курсовая работа [1,2 M], добавлен 23.12.2015

  • Разработка схемы локальной вычислительной сети отдела предприятия, включающей общий сервер. Определение коэффициента нагрузки, суммарного трафика сети. Выбор типов физической среды для соединения компьютеров в соответствии со стандартными параметрами.

    контрольная работа [241,5 K], добавлен 05.08.2011

  • Предназначение контроля и учета трафика. Нецелевое использование средств. Общая архитектура серверов контроля корпоративного Интернет доступа. Среда программирования "Delphi 7". Рабочий компьютер администратора сети. Оборудование серверного помещения.

    дипломная работа [1,8 M], добавлен 03.07.2015

  • Современная локальная компьютерная сеть. Сжатие полосы пропускания сегмента компьютерной сети. Адресация в сети. Совместное использование файлов, принтеров, модемов. Сегментирование трафика для снижения нагрузки. Поддержка средств защиты доступа.

    реферат [153,5 K], добавлен 10.12.2012

  • Обзор области генерации сетевого трафика. Описание выбранных методов, моделей, алгоритмов решения задач. Создание модели поведения пользователя, распределение количества посещённых страниц сайта. Выбор средств реализации программного продукта (проекта).

    курсовая работа [1,3 M], добавлен 30.06.2017

  • Способы применения технологий нейронных сетей в системах обнаружения вторжений. Экспертные системы обнаружения сетевых атак. Искусственные сети, генетические алгоритмы. Преимущества и недостатки систем обнаружения вторжений на основе нейронных сетей.

    контрольная работа [135,5 K], добавлен 30.11.2015

  • Понятие информационной технологии. Обобщенная структура компьютерной сети. Разработка программы, позволяющей передавать звук по локальной сети и по глобальной сети Интернет в реальном времени. Создание собственной Интернет-радиостанции с помощью Delphi.

    курсовая работа [376,0 K], добавлен 02.07.2010

  • Основные сведения о корпоративных сетях. Организация VPN. Внедрение технологий VPN в корпоративную сеть и их сравнительная оценка. Создание комплекса мониторинга корпоративной сети. Слежение за состоянием серверов и сетевого оборудования. Учет трафика.

    дипломная работа [4,2 M], добавлен 26.06.2013

  • Выбор технологии передачи данных. Выбор топологии сети, головной станции, конфигурации системы видеонаблюдения. Организация доступа к IP-телефонии и Интернету. Расчет передаваемого трафика через сеть и видеонаблюдения. Проектирование кабельной сети.

    дипломная работа [1,7 M], добавлен 27.01.2016

  • Управление доступом к ресурсу на уровне пользователей. Преимущества и недостатки одноранговых вычислительных сетей при работе компьютерной сети. Порядок подключения сети на витой паре. Конфигурирование сетевой карты. Назначение выделенного сервера.

    реферат [19,5 K], добавлен 06.04.2010

  • Понятие и основные характеристики локальной вычислительной сети. Описание типологии "Шина", "Кольцо", "Звезда". Изучение этапов проектирования сети. Анализ трафика, создание виртуальных локальных компьютерных сетей. Оценка общих экономических затрат.

    дипломная работа [990,2 K], добавлен 01.07.2015

  • Анализ работы программы "Traffic Inspector", предназначенной для автоматизации учета интернет-трафика. Рассмотрение задач биллинговой системы: тарификации предоставляемых услуг; управления балансом пользователя; детализации личного счёта абонента.

    курсовая работа [4,0 M], добавлен 03.07.2012

  • Схема соединения компьютеров в локальной сети: линейная шина, звезда, кольцо. Аппаратное обеспечение: адаптер для передачи и према информации. Создание всемирной компьютерной сети Интернет. Базовые и прикладные протоколы. Способы подключения к интернету.

    презентация [153,4 K], добавлен 27.04.2015

  • Способ моделирования сетевого трафика случайным точечным процессом. Ступени разработки моделей процессов в сети. Определение статистик числа отсчетов на интервалах. Принятое в теории фрактальных процессов обозначение интенсивности точечного процесса.

    контрольная работа [5,6 M], добавлен 14.12.2015

  • Обзор оборудования для построения мультисервисной сети. Функциональная схема системы Avaya Aura. Требования к качеству предоставления базовой услуги телефонии. Методы кодирования речевой информации. Расчет параметров трафика и оборудования шлюзов.

    курсовая работа [907,0 K], добавлен 09.10.2014

  • Устройство сети эмулятора UNetLab. Поддержка дополнительного оборудования Cisco и других производителей. Принцип генерации и захвата трафика. Функция поиска свободной сети. Описание способов передачи данных: интервального и последовательного режимов.

    дипломная работа [873,0 K], добавлен 05.09.2016

  • Анализ модели политики безопасности. Программы сетевого общения (Instant Messengers и чаты). Удаление информации без возможности восстановления. Устройства хранения, файловые системы, уязвимости. Пример защиты ПК методом фильтрации сетевого трафика.

    курсовая работа [97,2 K], добавлен 17.12.2015

  • Теоретические основы Интернет-технологий и основных служб сети Интернет. Ознакомление с возможностями подключения к сети Интернет. Основные службы сети. Принципы поиска информации в WWW. Обзор современных Интернет браузеров. Программы для общения в сети.

    курсовая работа [385,2 K], добавлен 18.06.2010

  • Разработка структуры локально-вычислительной сети ГБОУ СПО "ВПТ". Обоснование топологии, выбор аппаратного обеспечения для коммутации и сегментации. Установка и настройка сетевых протоколов и служб. Система мониторинга сетевых узлов и сетевого трафика.

    дипломная работа [1,8 M], добавлен 25.10.2013

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.