我在 Bittorrent 协议中看到,Bittorrent 偶尔(大约每两分钟)发送长度为 0 的保持活动数据包以维持连接。我试图识别这些数据包,因此在使用 uTorrent 时捕获了所有网络流量。
当我查看数据包时,我看到很多长度为 0 的 TCP 数据包,但它们似乎是响应接收下载数据而发送的 ACK 数据包。uTorrent 是否使用保持活动数据包?如果使用,我该如何识别它们?
答案1
Bittorrent 确实使用保持活动数据包:
https://wiki.theory.org/BitTorrentSpecification#Peer_wire_protocol_.28TCP.29
为了在您的捕获器中找到保持活动数据包,我会尝试将您的 Wireshark 显示过滤器设置为bittorrent.msg.length == 0或探索bittorrent.msg.type过滤器。
要记住的一件事是,在常规流量期间可能没有发送保持活动数据包(毕竟,在成功发送数据后没有必要说“我还在这里”),所以除非你让应用程序闲置至少那么长时间,否则你可能找不到任何东西。
请参阅此页面以获取有关分析流量的更多想法:http://www.howtogeek.com/107945/how-to-identify-network-abuse-with-wireshark/