Panabit应用协议样本抓包方法
Panabit自发布以来,得到了各位网友及用户的热心支持和帮助。为更好的提高Panabit在各用户网络中的作用与体验,对于您网络中存在的、Panabit暂时尚未识别的应用,请按照本方法进行样本采集,通过邮件发送给support@panabit.com。我们将尽快进行分析处理并发布更新特征库,以满足用户对这些未知应用的流量分析与管理需求。(注: 本方法同样适用于各合作伙伴在用户测试过程中遇到类似问题的技术人员)
例如: 在您网络中, 脱兔是Panabit暂时不支持的,那么请按本方法关闭PC中其他可以访问网络的应用程序,然后对“脱兔”进行包括登陆-寻找资源-下载-退出的完整过程抓包,另存为.cap文件后发送email至support@panabit.com。
邮件格式为:
标题: “脱兔”抓包样本。
内容: 1、使用单位、使用人的相关信息、联系方式 (仅做为Panabit使用效果回访使用)
2、可补充说明脱兔的版本号;如无说明,我们将在分析与做出特征库后,以脱兔的最新版本进行测试和验证) #关闭PC中其他可以访问网络的应用程序#可以试试基于进程抓包的QPA软件,地址http://protocol.sinaapp.com/
进程抓包:QPA是基于进程抓包的,实时准确判定每个包所属进程,优于仅基于网卡抓包的软件
实时分析:QPA能实时分析协议,可以一边操作协议软件一边观察协议的特征,优于先抓包后分析的分析模式
快速提取:QPA将流量按特征自动归类,分析简便,优于基于一条条会话的分析模式 这是panabit迈出的很有意义的一大步!:handshake 原帖由 prouser 于 2008-2-21 11:06 发表 http://www.panabit.com/forum/images/common/back.gif
这是panabit迈出的很有意义的一大步!:handshake
嗯,走出这一步,自定义功能估计将来也会出现了。:D 谢谢版主分享!学习中!:victory: 要是能教大家分析数据包, 有网友测试后直接提交特征码, 这样发展就更会有神八的速度发展了~ 原帖由 david03 于 2008-11-20 17:28 发表 http://www.panabit.com/forum/images/common/back.gif
要是能教大家分析数据包, 有网友测试后直接提交特征码, 这样发展就更会有神八的速度发展了~
哈哈,这个不太可能.
1)分析办法就协议分析的一个核心,不可能公开,至于看TCP/IP头部,这不用教,网上有.
2)能做协议分析的人不是每个人都有这样的基础. 原帖由 prouser 于 2008-2-21 11:06 发表 http://www.panabit.com/forum/images/common/back.gif
这是panabit迈出的很有意义的一大步!:handshake
恩,这是panabit的一小步,但是是panabiters的一大步 支持,下载了学习!谢谢! 问一下LZ,
1、整个抓包过程多长时间为佳呢,如果时间太短抓到的数据会比较少,能提取出相关的特征比较少,这样漏报率会很高!
2、再就是那个cmd下的netstat命令,好像是个即时命令,只能捕获到执行命令瞬间的端口信息?
而有些P2P应用程序是随机的端口的,前一帧可能用这个端口,下一帧可能又跳到下个端口了,
执行netstat 命令捕获的数据还有用吗?
问得有点多,还请LZ谅解!:lol