随笔分类 -  Protocol Analysis

摘要：ssl要是没有做中间人解密的话，在加密的情况下要阻断我个人觉得可以考虑如下:(当然只是个人觉得滴)1.IP过滤2.dns过滤3.ssl random中的gmt_unix_time可能会是个固定值，skype就有这个特征。还有ssl其他的地方也可以进行监控看是否一直保持不变，4.ssl证书过滤，ssl证书是明文传输的，可以监测ssl证书是否颁发给指定域名的Analysis and Signature of Skype VoIP Session Traffichttp://hi.baidu.com/drinkey/item/69f1813495df24f72784f4b1http://www.wi 阅读全文

摘要：逆向跟踪了下某雷P2SPContent Distribution的协议中解密函数char __stdcall sub_21343310(int a1, int a2){ unsigned int v2; // ebx@1 char result; // al@2 int v4; // edi@5 signed int v5; // esi@5 int v6; // ecx@7 int v7; // edx@7 int v8; // eax@7 int v9; // ecx@7 char v10; // al@8 char v11; // bl@10 int v12; //... 阅读全文

摘要：在做风行软件的协议分析，在整个软件的协议分析过程中，了解到了fsp文件就是种子文件，其结构就是普通的BT种子结构(.torrent)，也了解到了目前设备上规则的阻断主要是采用阻断请求ls3.fspcdn.com下载fsp种子这个过程。 来nsfocus后分析了好多p2p软件，例如QVOD，还有目前的风行，bittorrent等等，在这里饶有兴趣的想开发一个BT下载软件(linux版，并且可能会进行win版开发)。自己将在这边不断地补充BT的日志，最终完成这个软件版本。后期将有自己对这些软件的逆向分析文章。达到对P2P软件分析的一个比较深入的了解。首先是BT种子解析: BT种子文件使用了一种叫b 阅读全文

摘要：DHE，就是加密协议连接，是BT协议的术语。用于防范BT协议过滤。一般正规BT软件都会自动选择协议加密。一般来说比特精灵一般使用DHE-XOR方 式加密，比特彗星一般使用DHE-RC4方式加密，这两个软件的协议加密都可以互相连接。如果把协议加密设置为强制，可以防止一些吸血软件如迅雷等的连 接，保证P2P网络的稳定。并且可以大幅度提升内网的下载速度。在使用BitComet时经常可以见到客户端版本号后多了一个*DHE*或*DHEv2*这就是协议加密的表示。现在多为DHEv2。DHEv2顾名思义，就是第二代加密协议连接DHEv2并不是由网络决定的，而是由软件决定作为加密协议，很多BT软件上还可以看到 阅读全文

摘要：下载地址解密链接:http://md5.mmkey.com/base64/base64解析:http://baike.baidu.com/view/469071.htmbase64详解:http://wenku.baidu.com/view/cfddd54733687e21af45a997.html各大下载软件下载地址详细分析:http://www.mmkey.com/html/wangluokeji/wanzhuanwangluo/2009/0908/26655.html迅雷,快车,旋风下载地址加密和解密分析1、普通地址转换为迅雷地址 在原地址前面加"AA"，后面加&qu 阅读全文

摘要：P2P检测技术:1.端口检测技术2.协议识别技术 基于RFC标准的协议分析技术 基于逆向工程的协议分析技术 基于模式匹配的特征检测技术 基于关联分析的统计监测技术端口检测可以逐包进行，模式匹配可以逐流进行，而基于关联分析的统计检测技术是更为复杂的技术。一般来说，对单个会话的特征检测就能够识别一些传统的P2P应用协议，但越来越多的P2P应用采取协议加密、协议模糊等规避监管的技术，简单的数据分析已无法准确识别新型P2P应用，需要在IP碎片重组、TCP会话跟踪、TCP流汇聚的基础上，通过单包模式匹配、单会话多包关联分析、多会话关联分析各种P2P应用的连接数、单IP的连接模式、上下行流量比例关系、数据 阅读全文