Easyspy如何监控网络中的P2P流量

Easyspy如何监控网络中的P2P流量(1)

P2P软件由于其技术原理决定了其可以无节制地占用局域网的带宽资源，使得无论企事业单位的带宽有多大，只要局域网一台电脑使用了P2P软件都可以将整个局域网的网速拖慢，严重干扰了企业的业务系统和办公系统的正常运行，甚至使得打开网页、收发电子邮件都难以进行。

P2P协议由于其协议本身的特点，它多采用随机端口进行通讯，没有太多规律可循，所以如果采用传统的基于端口的方式对其进行监控是不可行的。Easyspy采用的先进的流量特征识别，能够非常高效地识别各种P2P流量。下面利用Bittorrent举例说明如何采用Easyspy来识别并监控网络中的Bittorrent流量。

根据Bittorrent的协议规范，BT协议的端点连接部分是由一个握手过程开始的。这个握手报文具有明显的特征，它是由字符串“BitTorrent protocol”加一个前导字节组成，这个前导字节就是“BitTorrent protocol”字符串的长度，也就是0x13（见下图）.

基于上述特征，我们可以创建一个应用层协议，步骤如下：

1. 打开“协议管理”界面。点击工具栏上的“协议管理”按钮，或者通过菜单“工具-->协议...”进入。

2. 进入“应用协议管理”界面后，点击添加“添加”，新增一个“应用层协议”。

3. 填入我们要监控的BT协议的名称和描述，输入“会话总数”。这里要注意的是，会话总数是指在内存中保存的会话总个数，这个值保持默认值就可以。 因为刚才提到，对于BT协议不能以端口进行识别，所以我们选中“基于嗅探”，然后点击右边的按钮，选择“创建...”

4. 进入嗅探规则编辑界面，填入名称，然后新增一种“模式”规则。

5. 进入“模式规则”对话框。

通过刚才的分析，BT协议的端点握手报文中含有一个“BitTorrent protocol”的字符串，和一个标示其长度的前导字节。“BitTorrent protocol”字符串是可见字符，而前导字节是不可见字符，这样的情形不利于表示。好在Easyspy支持ASCII字符和十六进制数混杂模式输入，输入方法是：将十六进制数以两个|包围起来，这中间的字符就会被视为十六进制数。比如BT的这个特征就可以描述为\|13|BitTorrent protocol\。 选中“大小写敏感”，匹配开始选择“应用层”，正确选择“开始偏移”和“终止偏移”。

点击确定就完成了BT协议的“嗅探规则”。

6. 点击“确定”后，一种新的应用层协议就被创建出来了。按照提示，需要重

启Easyspy才能生效。

如何监控网络中的P2P流量(2)

通过上一篇文章的步骤，创建了一个Bittorrent的应用层协议，按照提示重启Easyspy。

1. 查看Bittorrent的会话和各种统计数据。

进入“分层视图”，在“应用层”中的“协议”下面可以找到刚才创建的“Bittorrent”，点击进去可以看到关于BT的各种统计值。

在会话页面可以看到BT产生的会话，以及会话的详细信息。

2. 创建并Bittorrent流量记录趋势

Easyspy支持自定义图形，因为Bittorrent是新加的协议，所以现在还没有与之相关的图像，如果想了解BT流量的趋势，可以通过“图形管理”来创建一个图形，步骤如下：

（1）点击菜单“工具->图形”进入“图形管理”界面。

（2）点击“添加”，会出现一个“选择统计值”的对话框，这时找到刚才创建的Bittorrent协议，选中想要关注的统计值，并点击确定。

（3）进入“图形属性”对话框，在这里可以配置图形的一些属性，如果想在一个图形中显示多个统计值，可以在“统计值”一栏中添加。

（4）点击确定后，按照提示重启Easyspy后生效。重启后，可以在“图形视图”中看到刚才创建的图形，如果这时有BT流量的话，可以看到BT的流量趋势。

3. 创建BT流量事件，用来告警

除了图形和各种统计值外，Easyspy还提供了事件，通过事件的“动作”可以起到告警的用途。

假设想要对网络中的BT流量超过一定的阈值时，给相关人员一个告警，可以按照下面步骤来设置。

（1）通过菜单“工具->事件”打开“事件管理”。 （2）点击“添加”，并选择“统计值事件”，如图：

（3）在“创建统计值事件”对话框中

a）输入事件名称，比如这里的是想知道BT是否占用比较多的带宽，“BT占用太多带宽”

b）严重程度，表示这个事件的重要性，这里可以选择为“警告”

c）动作。动作是指该事件发生时，希望Easyspy采取什么样的动作，比如是给管理员发一封EMail提醒，还是播放声音。一个事件可以有自己的动作（对于与选项中的“单独的动作”），或者不采用任何动作（对应于选项中的“没有动作”），还有就是可以采用“全局动作”。全局动作是指采用全局配置的动作，全局动作是根据严重程度来触发的（具体如何配置，以后会有详细介绍）。假设这里选择“没有动作”。

d）选择统计值，点击按钮出现“选择统计值”对话框（和创建图形时的对话框是一样的）。比如这里选择Bittorrent的当前利用率作为事件的触发条件。

e）根据实际网络情况设置“阈值”，假设认为如果Bittorrent占用的带宽超过100kbps，并且持续了10秒钟，我们就认为是一个“BT占用太多带宽”事件。

f）点击确定，按照提示重启Easyspy方可生效。如果这时网络中的确有超过阈值的Bittorrent流量，我们可以在“事件视图”中找到相关的事件。如

果配置了动作，这时相关动作就会被执行。

本文来源：https://www.bwwdw.com/article/iojh.html