大家有没有发现共享检测会误判
本帖最后由 wjhlgz 于 2014-9-3 20:05 编辑如上图我设置到3,仍然有人被检出.设置为2时,一大片中枪.请问这是什么原因.
我是4月份的版本.
有些电脑我亲自检查了,确实没开共享,如360wifi啊. 开启数据包检测是比较容易误判,因为是通过数据包的IPID的轨迹来判断共享的,我们可以通过调节参数来调整轨迹检测的严格性。
floweye ipidtracker config 参数
ipid_learnmax=64 当IPID连续包是大于64个时,判断有一条轨迹
ipid_maxskip=8 连续的数据包缺失8个以上,认为不属于同一条轨迹
ipid_minskip=6 连续的数据包缺失6个以下,认为属于同一条轨迹
ipid_ttl=50 轨迹的老化时间 谢谢!这个是修改哪个文件? wjhlgz 发表于 2014-9-27 06:08
谢谢!这个是修改哪个文件?
通过命令行修改
命令:floweye ipidtracker config +参数
参数:
ipid_learnmax=64 当IPID连续包是大于64个时,判断有一条轨迹
ipid_maxskip=8 连续的数据包缺失8个以上,认为不属于同一条轨迹
ipid_minskip=6 连续的数据包缺失6个以下,认为属于同一条轨迹
ipid_ttl=50 轨迹的老化时间 ipid_learnmax=20
ipid_maxskip=8
ipid_minskip=5
ipid_ttl=8
标记一下,这是原来的参数!不知道这些参数如何调整才是往严格的方向? wjhlgz 发表于 2014-9-28 19:32
ipid_learnmax=20
ipid_maxskip=8
ipid_minskip=5
将 learnmax调大,minskip调小,具体数字靠自己来测试了:lol
页:
[1]