能否将远程连接添加进特征库？？

shooting

发现我网内有个未知应用流量较大，打开会话发现，连接的是3389端口，为windows的远程桌面连接
我是在内网拿个学生实验室在做测试，虽说远程桌面需要带宽较高在内网中应用较多
但如果可以的话，是否能将远程桌面应用也添加入特征库内，如windows远程桌面、VRC、PCanywahere、RemoteAdmin等等添加进去呢？
大家看是否有这个必要？
这些应用大部分都是可以更改端口的，普通4层ACL控制不住

原本跟在别贴，特开贴求问

panabit

原帖由 shooting 于 2008-3-14 14:51 发表
发现我网内有个未知应用流量较大，打开会话发现，连接的是3389端口，为windows的远程桌面连接
我是在内网拿个学生实验室在做测试，虽说远程桌面需要带宽较高在内网中应用较多
但如果可以的话，是否能将远程桌面应用 ...

我们已经加进去了，正在测试中。

shooting

还是国内团队效率高啊！
若是SCE的话，还不知道协议扩充得等多久
那咚咚还在海关
若有需要对比测试可以联系我，我和du工已有邮件联系，呵呵

Lucifer

allot也是6个月添加一次协议

panabit

原帖由 shooting 于 2008-3-14 15:06 发表
还是国内团队效率高啊！
若是SCE的话，还不知道协议扩充得等多久
那咚咚还在海关
若有需要对比测试可以联系我，我和du工已有邮件联系，呵呵

http://www.panabit.com/forum/vie ... page%3D2&page=2

在上面的连接帖子里有一个特征库，如果方便，请测试一下。

shooting

原来都有了，sorry，只看见专业版有0228，没搜刮到标准版的也能down了
现在就添加

panabit

原帖由 shooting 于 2008-3-14 15:12 发表
原来都有了，sorry，只看见专业版有0228，没搜刮到标准版的也能down了
现在就添加

测试结果怎么样？

shooting

白天小屁孩们没用远程桌面
晚上都在宿舍连到实验室来了，貌似还分析不了远程桌面的流量
现抓图如下：

panabit

能否方便给我们抓一下包？

shooting

他们一般是不会修改远程桌面服务的端口
基本TCP3389还是被应用在远程桌面服务之上的
panabit被串在这个实验室的接入交换机与上联交换机之间，因此无论是校园网例如宿舍区，还是外网，对于这个实验室而言都是外网，规模类似于small office，仅有10人左右，因此网络的结构非常简单，且不存在NAT问题。
三张图是在重启系统后依次截的，因此在数据量上后图会比前图大，但首张图在回帖完流量依旧为0，不知何故

[ 本帖最后由 shooting 于 2008-3-15 23:48 编辑 ]