如何判断客户机是在P2P等下载还是在线看电影。。。。

webshare · 发表于 2008-1-10 17:04:17

公司经常有些客户机通过web迅雷、迅雷、eMule、网络快车、超级旋风等下载电影、软件。还有一些在线观看电影。。。。可是抓到的数据包：很多都是1024-1517：
然后TCP： HTTP 608.953MB及Other 214.144流量特别的大。。
请问：如何判断这样子的机子是在线看电影还是下载东西呢？？
请高手给解释解释啊。。。。

ppyycc · 发表于 2008-1-10 17:08:04

看单ip对外短时间内打开的tcp数目就能决定了

lbzxy · 发表于 2008-1-10 17:17:34

我认为楼主可以通过这几种方式来查看：
1、通过科来端点视图查看客户端流量情况；
2、通过协议视图查看BT，RTSP，VIEDO等协议；
3、通过矩阵视图查看，如果有P2P下载，该主机的主机连接数会非常多。

chinaheiyu · 发表于 2008-1-10 17:19:07

原帖由 ppyycc 于 2008-1-10 17:08 发表
看单ip对外短时间内打开的tcp数目就能决定了

能具体点吗？还有为什么？

lzw_mouse · 发表于 2008-1-10 19:26:50

还是先要了解各种应用所使用的协议，然后通过科来的协议分析来确定吧。

孤独的意尹者 · 发表于 2008-1-10 19:42:31

原帖由 ppyycc 于 2008-1-10 17:08 发表
看单ip对外短时间内打开的tcp数目就能决定了

P2P以及视频等应用一般都是使用UDP协议.但看这些是无法准确判断的

webshare · 发表于 2008-1-11 09:16:37

兄弟能不详细一点啊

通过P2P或QQ传输文件，主机连接数都是很多的啊。。。
然后你所说的协议并没有啊。。比如我在线看电影。。。一般抓到的都是TCP或UDP的流量，并没有你所说的RTSP，VIEDO流量。。。。

lw2008 · 发表于 2008-1-17 10:41:25

只看连接数不能确定是P2P

如何判断客户机是在P2P等下载还是在线看电影。。。。

评分

回复 3# 的帖子

只看连接数不能确定