从 UDP 日志中检测 p2p
Detect p2p from UDP logs
我喜欢 http://www.brighthub.com/computing/smb-security/articles/48875.aspx 上的 4.approach - 关于如何仅通过记录器怀疑某人使用 p2p 的行为分析,当收到侵权电子邮件时,我可以在家里找到那个人(10人,每个公寓的子网)将其转发给。
文章说你应该关注来自和到一个本地 IP <-> 许多不同 IP 的 UDP 数据包,但它已经很老了(4 年),我的问题是这是否仍然是一种有效的技术. Google搜索说p2p可以同时使用TCP和UDP。
我问的主要原因是我的想法是记录 仅 UDP 流量,因为当还记录 TCP 时,日志文件增长得非常快(每个文件都天和早于一周的文件 => /dev/null).
所以我在那个网络上尝试了一个实验,只在主路由器上记录缓冲区。我正在记录实时 UDP。通常每分钟只有很少的 udp 日志发生(除了我发送电子邮件时的实验)。我试着启动一个 Torrent 并观察会发生什么。我启动了它,日志中充满了满足行为分析猜想的UDP数据包。
是的,如果侵权的时间等于此行为的时间,至少怀疑某人仍然是有效的技术。
是的,没有理由像这个实验那样记录 TCP 流量(大量数据)。
我喜欢 http://www.brighthub.com/computing/smb-security/articles/48875.aspx 上的 4.approach - 关于如何仅通过记录器怀疑某人使用 p2p 的行为分析,当收到侵权电子邮件时,我可以在家里找到那个人(10人,每个公寓的子网)将其转发给。
文章说你应该关注来自和到一个本地 IP <-> 许多不同 IP 的 UDP 数据包,但它已经很老了(4 年),我的问题是这是否仍然是一种有效的技术. Google搜索说p2p可以同时使用TCP和UDP。
我问的主要原因是我的想法是记录 仅 UDP 流量,因为当还记录 TCP 时,日志文件增长得非常快(每个文件都天和早于一周的文件 => /dev/null).
所以我在那个网络上尝试了一个实验,只在主路由器上记录缓冲区。我正在记录实时 UDP。通常每分钟只有很少的 udp 日志发生(除了我发送电子邮件时的实验)。我试着启动一个 Torrent 并观察会发生什么。我启动了它,日志中充满了满足行为分析猜想的UDP数据包。
是的,如果侵权的时间等于此行为的时间,至少怀疑某人仍然是有效的技术。
是的,没有理由像这个实验那样记录 TCP 流量(大量数据)。