¿Cómo Palo Alto Networks identifica BitTorrent?

28162

Created On 09/25/18 19:26 PM - Last Modified 06/06/23 19:20 PM

Resolution

Resumen

Detalle

UNA carga de BitTorrent comienza con: "D1: AD2: ID20:", que es un típico patrón de protocolo DHT utilizado únicamente por BitTorrent.

La siguiente URL hace referencia al Protocolo de DHT, que incluye patrones de muestra, todo comenzando con: D1: AD2: ID20

http://BitTorrent.org/BEPS/bep_0005.html

Haga referencia a la siguiente sección dentro del sitio en lo que respecta a ' consultas DHT ':

----------------------------------------------------------------------------------------------

DHT consultas

Todas las consultas tienen una clave de "ID" y un valor que contiene el identificador de nodo del nodo de consulta. Todas las respuestas tienen una clave de "ID" y un valor que contiene el identificador de nodo del nodo que responde.

ping

La consulta más básica es un ping. "q" = "ping" una consulta de ping tiene un único argumento, "ID" el valor es una cadena de 20 bytes que contiene el identificador de nodo de remitentes en orden de bytes de red. La respuesta adecuada a un ping tiene una sola clave "ID" que contiene el identificador de nodo del nodo que responde.

argumentos: {"ID": "<querying nodes="" id="">"}</querying>

respuesta: {"ID": "<queried nodes="" id="">"}</queried>

Paquetes de ejemplo

ping Query = {"t": "AA", "y": "q", "q": "ping", "a": {"ID": "abcdefghij0123456789"}}

bencoded = D1: AD2: ID20: abcdefghij0123456789e1: Q4: ping1: T2: AA1: Y1: qe

----------------------------------------------------------------------------------------------

Propietario: Bryan

¿Cómo Palo Alto Networks identifica BitTorrent?

Resolution

Resumen

Detalle

Other users also viewed: