Panabit Support Board!

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 12044|回复: 9

关于未知协议

[复制链接]
发表于 2008-6-6 09:50:35 | 显示全部楼层 |阅读模式
目前我的网络中未知协议占据到第二名的位置,我想分析这些是什么流量,但目前无法分析。
我想看一下这些未知协议是谁产生的,但未知应用档案中Top用户为空(如果不为空我就可以直接找到这台机器,到这台机器上去看用了什么网络应用)
我想自己分析这些数据包,可是panabit没有接口将这些数据包输出给我

不知道panabit开发团队有没有比较好的方法来解决这个问题。
(BTW:我目前把panabit当做网络协议分析用。)
 楼主| 发表于 2008-6-6 09:53:21 | 显示全部楼层
对于这种未知的东西,需要一个自我发现,自我完善的机制,这样就完美了。

目前对于这些未知协议的猜测可能会是:
1、可能是我们公司自己的一些应用
2、也可能是panabit无法识别的公共应用软件
发表于 2008-6-6 09:55:03 | 显示全部楼层
top用户为空的话,是不是你内网ip统计没有打开?
之前也有提议panabit上可以抓某个特殊的报文,这样便于分析。比如:指定抓某个ip的未知流量,抓几个采样,然后自己分析或者提交给panabit分析。
 楼主| 发表于 2008-6-6 09:58:48 | 显示全部楼层
内网ip统计已经打开,TOP IP 不为空有很多记录。
发表于 2008-6-6 10:18:39 | 显示全部楼层
对于未知应用最好抓包,之后提供给Panabit来帮助分析。
抓包的方法参考本版置顶帖:http://www.panabit.com/forum/vie ... &extra=page%3D1

[ 本帖最后由 allenpeng 于 2008-6-6 10:20 编辑 ]
 楼主| 发表于 2008-6-6 10:45:54 | 显示全部楼层
原帖由 allenpeng 于 2008-6-6 10:18 发表
对于未知应用最好抓包,之后提供给Panabit来帮助分析。
抓包的方法参考本版置顶帖:http://www.panabit.com/forum/vie ... &extra=page%3D1


你的方法不具有可行性,我都不知道这些包是什么,我抓谁呀?如果抓得到包的话, 我自己就可以分析是不是我们自己的应用产生的数据包了。
发表于 2008-6-6 10:54:23 | 显示全部楼层
原帖由 netu0 于 2008-6-6 10:45 发表


你的方法不具有可行性,我都不知道这些包是什么,我抓谁呀?如果抓得到包的话, 我自己就可以分析是不是我们自己的应用产生的数据包了。


既然是“未知”当然就是不知道或当前的特征库没有不能识别的了,如果要把这些个“未知”变成已知当然是要抓包分析了。
 楼主| 发表于 2008-6-6 11:01:17 | 显示全部楼层
panabit可以识别对panabit来是说已知还是未知,对于我我用抓包程序来抓我无法知道我抓到的数据包对panabit来说是已知还是未知,所以我说“你的方法不具有可行性”。
 楼主| 发表于 2008-6-6 11:03:00 | 显示全部楼层
原帖由 netstorms 于 2008-6-6 09:55 发表
top用户为空的话,是不是你内网ip统计没有打开?
之前也有提议panabit上可以抓某个特殊的报文,这样便于分析。比如:指定抓某个ip的未知流量,抓几个采样,然后自己分析或者提交给panabit分析。


感谢回贴。不知道panabit官方是怎么解决这个问题的。
发表于 2008-6-6 11:22:29 | 显示全部楼层
你说的未知里面找不到ip信息的原因是产生未知流量的ip当前不在使用,那个连接信息是有流量才会显示。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|北京派网软件有限公司 ( ICP备案序号:京ICP备14008283号 )

GMT+8, 2024-11-22 16:04 , Processed in 0.069197 second(s), 16 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表