大家有没有发现共享检测会误判

wjhlgz · 发表于 2014-9-3 19:48:31

本帖最后由 wjhlgz 于 2014-9-3 20:05 编辑

捕获.PNG

如上图我设置到3,仍然有人被检出.设置为2时,一大片中枪.请问这是什么原因.

我是4月份的版本.

有些电脑我亲自检查了,确实没开共享,如360wifi啊.

Panabit-Luo · 发表于 2014-9-4 12:37:57

开启数据包检测是比较容易误判，因为是通过数据包的IPID的轨迹来判断共享的，我们可以通过调节参数来调整轨迹检测的严格性。
floweye ipidtracker config 参数
ipid_learnmax=64 当IPID连续包是大于64个时，判断有一条轨迹
ipid_maxskip=8    连续的数据包缺失8个以上，认为不属于同一条轨迹
ipid_minskip=6       连续的数据包缺失6个以下，认为属于同一条轨迹
ipid_ttl=50             轨迹的老化时间

wjhlgz · 发表于 2014-9-27 06:08:11

谢谢！这个是修改哪个文件？

Panabit-Luo · 发表于 2014-9-28 11:26:45

wjhlgz 发表于 2014-9-27 06:08
谢谢！这个是修改哪个文件？

通过命令行修改
命令：floweye ipidtracker config +参数

参数：
ipid_learnmax=64 当IPID连续包是大于64个时，判断有一条轨迹
ipid_maxskip=8    连续的数据包缺失8个以上，认为不属于同一条轨迹
ipid_minskip=6       连续的数据包缺失6个以下，认为属于同一条轨迹
ipid_ttl=50             轨迹的老化时间

wjhlgz · 发表于 2014-9-28 19:32:43

ipid_learnmax=20
ipid_maxskip=8
ipid_minskip=5
ipid_ttl=8

标记一下，这是原来的参数！不知道这些参数如何调整才是往严格的方向？

Panabit-Luo · 发表于 2014-9-29 12:21:13

wjhlgz 发表于 2014-9-28 19:32
ipid_learnmax=20
ipid_maxskip=8
ipid_minskip=5

将 learnmax调大，minskip调小，具体数字靠自己来测试了

		自动登录	找回密码
密码			注册