关于未知协议
目前我的网络中未知协议占据到第二名的位置,我想分析这些是什么流量,但目前无法分析。我想看一下这些未知协议是谁产生的,但未知应用档案中Top用户为空(如果不为空我就可以直接找到这台机器,到这台机器上去看用了什么网络应用)
我想自己分析这些数据包,可是panabit没有接口将这些数据包输出给我
不知道panabit开发团队有没有比较好的方法来解决这个问题。
(BTW:我目前把panabit当做网络协议分析用。) 对于这种未知的东西,需要一个自我发现,自我完善的机制,这样就完美了。
目前对于这些未知协议的猜测可能会是:
1、可能是我们公司自己的一些应用
2、也可能是panabit无法识别的公共应用软件 top用户为空的话,是不是你内网ip统计没有打开?
之前也有提议panabit上可以抓某个特殊的报文,这样便于分析。比如:指定抓某个ip的未知流量,抓几个采样,然后自己分析或者提交给panabit分析。 内网ip统计已经打开,TOP IP 不为空有很多记录。 对于未知应用最好抓包,之后提供给Panabit来帮助分析。
抓包的方法参考本版置顶帖:http://www.panabit.com/forum/viewthread.php?tid=1581&extra=page%3D1
[ 本帖最后由 allenpeng 于 2008-6-6 10:20 编辑 ] 原帖由 allenpeng 于 2008-6-6 10:18 发表 http://www.panabit.com/forum/images/common/back.gif
对于未知应用最好抓包,之后提供给Panabit来帮助分析。
抓包的方法参考本版置顶帖:http://www.panabit.com/forum/viewthread.php?tid=1581&extra=page%3D1
你的方法不具有可行性,我都不知道这些包是什么,我抓谁呀?如果抓得到包的话, 我自己就可以分析是不是我们自己的应用产生的数据包了。 原帖由 netu0 于 2008-6-6 10:45 发表 http://www.panabit.com/forum/images/common/back.gif
你的方法不具有可行性,我都不知道这些包是什么,我抓谁呀?如果抓得到包的话, 我自己就可以分析是不是我们自己的应用产生的数据包了。
既然是“未知”当然就是不知道或当前的特征库没有不能识别的了,如果要把这些个“未知”变成已知当然是要抓包分析了。 panabit可以识别对panabit来是说已知还是未知,对于我我用抓包程序来抓我无法知道我抓到的数据包对panabit来说是已知还是未知,所以我说“你的方法不具有可行性”。 原帖由 netstorms 于 2008-6-6 09:55 发表 http://www.panabit.com/forum/images/common/back.gif
top用户为空的话,是不是你内网ip统计没有打开?
之前也有提议panabit上可以抓某个特殊的报文,这样便于分析。比如:指定抓某个ip的未知流量,抓几个采样,然后自己分析或者提交给panabit分析。
感谢回贴。不知道panabit官方是怎么解决这个问题的。 你说的未知里面找不到ip信息的原因是产生未知流量的ip当前不在使用,那个连接信息是有流量才会显示。
页:
[1]