高手帮忙，分析eDonkey DHT 网络下载时数据包的具体格式

夕雨晨冰

暂时没有发现很明显的特征，客户端A向B申请一个块，B收到后返回这个块的内容，具体分成1000多的数据包，这个交互过程均是UDP交互。目的是想找到里面的特殊标志，能够识别出这个数据包是eDonkey的数据包。貌似有点难度，高手给个想法啊。

头一次在这个论坛发帖子啊，呵呵  希望大家支持一下

天空之城

我并没有用eDonKey进行下载过，只是在netfilter的ipt_ipp2p.c中看到了关于eDonKey的数据特征，本身并没有验证过。以下说明都是跳过TCP/UDP头而直接到数据部分，你可以参考一下，也可以共同探讨一下。
case 0xe3:
  { /*edonkey*/
   switch (t[1])
   {
    /* client -> server status request */
    case 0x96:
     if (packet_len == 14) return ((IPP2P_EDK * 100) + 50);
     break;
    /* server -> client status request */
    case 0x97: if (packet_len == 42) return ((IPP2P_EDK * 100) + 51);
     break;
      /* server description request */
      /* e3 2a ff f0 .. | size == 6 */
    case 0xa2: if ( (packet_len == 14) && ( get_u16(t,2) == __constant_htons(0xfff0) ) ) return ((IPP2P_EDK * 100) + 52);
     break;
      /* server description response */
      /* e3 a3 ff f0 ..  | size > 40 && size < 200 */
    //case 0xa3: return ((IPP2P_EDK * 100) + 53);
    // break;
    case 0x9a: if (packet_len==26) return ((IPP2P_EDK * 100) + 54);
     break;
    case 0x92: if (packet_len==18) return ((IPP2P_EDK * 100) + 55);
     break;
   }
   break;
  }

夕雨晨冰

2# 天空之城

不太明白……
您说的直接是应用层的数据包对吧，跳过了UDP的头部

第一字节 |  第二字节 |  第三字节 |   其他字节 |  UDP长度 | 类型
0xe3      | 0x9a      |   any       |   any       |   26         | edonkey
0xe3      | 0x96      |   any       |   any       |    14        | edonkey

我并没有抓到这样的包啊，这个数据包是在哪个过程的呢？传输数据之前？还是之中一直有？