收集帖：请提交您的网络中流量占据前5名或应用较广泛的前5种协议名称！

panabit · 发表于 2007-8-22 18:53:42

原帖由 sunny 于 2007-8-22 18:29 发表
电信级流量控管必须依靠协议分析来做。但作为企业级网络而言，玩P2P和游戏往往是少数人，对一些具备发出连接报文量大（而且多数为半连接）、目标端口1024以上、连续上传量大等特征的节点进行封堵，即便对正常协 ...

你说得很有道理，所以，我们下一步想将未知协议做进一步细分，比如细分成：

--其它流量
-- TCP SYN, ACK
-- 疑似eMule加密
-- 疑似BT加密
-- 非IP
-- 非TCP/UDP
-- 未知应用

现在的关键是，未知应用如何进一步细分？您的意见？

我们希望增加的另外一个功能是: 增加用户自定义协议。就是可以让用户定义自己的协议，然后再给用户增加节点管理功能，这样对于游戏类协议，
只需要我们将游戏服务器地址 + 端口找出来，然后我们大家共同来维护这样的一个节点库就可以了。您的意见？

sunny · 发表于 2007-8-22 23:20:01

根据P2P传输的特征,一个P2P客户端运行时,会试图连接外部所有已知的P2P客户端(IP可以从TRACKER服务器中获取),由此,可以用统计的方法和单位时间内未知协议的连接（包括半连接）报文数量阀值确定可疑P2P节点.
在Panabit中增加一种规则定义，对可疑P2P节点可选：限速、阻断、阻断n秒。达到干扰P2P的目的。事实上,只要一段时间内P2P无法正常使用，那些使用者可能会失去兴趣而放弃。

不知可不可行？

[ 本帖最后由 sunny 于 2007-8-22 23:23 编辑 ]

panabit · 发表于 2007-8-22 23:30:17

原帖由 sunny 于 2007-8-22 23:20 发表
根据P2P传输的特征,一个P2P客户端运行时,会试图连接外部所有已知的P2P客户端(IP可以从TRACKER服务器中获取),由此,可以用统计的方法和单位时间内未知协议的连接（包括半连接）报文数量阀值确定可疑P2P节点.
在P ...

BT使用tracker，但是也可以使用DHT，还可能直接使用本地CACHE的节点，因此仅仅通过tracker是不够的。
有可能只有一条未知连接，但是这条连接的速率非常大，因此仅仅通过外部行为特征是很难界定的。
所以，所有号称可以通过行为特征进行识别的都带有噱头成分在里面。

对于BT,倒是可以通过分析DHT和Tracker应答包来确定外部节点，但是这可能会导致一些性能问题。早期Panabit
也使用过这种方法。

不过我们可以考虑将这作为选项存在。

gb43254 · 发表于 2007-8-22 23:32:40

我测过,控制住工作站的并发数为280,P2P的速度就不会快到那里去.

panabit · 发表于 2007-8-23 00:04:45

原帖由 gb43254 于 2007-8-22 23:32 发表
我测过,控制住工作站的并发数为280,P2P的速度就不会快到那里去.

你看这样行不，我们再增加一个并发数控制策略。
现有的策略我们可以看作是流量相关的控制策略，我们再增加一个并发数控制策略，这套控制策略同现有的策略是平行的。

panabit · 发表于 2007-8-23 17:31:28

原帖由 pptppt 于 2007-8-23 17:16 发表
我看到一家放火墙是这样控制流量的:
流量策略:
策略1:当线用是x时,每IP流量y
策略2:当线用是X时,每IP流量y
策略3:当线用是X时,每IP流量y
.......

并发策略:
策略1:当线用是X时,每IP并发y
策略2:当 ...

不明白？是不是有错别字？

Lucifer · 发表于 2007-8-23 20:12:20

原帖由 panabit 于 2007-8-22 12:19 发表

你的建议很好！

这个我们也想了很久，问题的关键是，如何定义异常流量。异常流量的发现不是问题，关键是要将其定义清楚。
另外，在一个网络环境中的异常流量，放在另外一个不同的网络环境中，就可能不是 ...

……我觉得这样下去不好。这样下去panabit会越来越复杂。关注面太多了不好。

我的意见是在一台机器上panabit可以配合bsd系统下流行的路由软件还有防火墙软件以及ide等防护软件。

我觉得panabit可以分成两部分去做。协议分析以及控制的内核部分，还有一个基于web的综合管理界面可以联合操作主流路由和防火墙。

比如连接数等路由和防火墙的功能就要他们去做就好了。panabit就是专心做协议分析其他什么都不用管。其他东西的功能就叫其他已经成熟的软件去做这样不是很好吗？

我知道这样做可能会影响效率但是我觉得现在的机器性能下达到100M甚至1000M绝对没问题了。处理器占用低不是什么好事。如何把机器的性能全面的使用体现价值才是真正的使用。

目前4核的至强才3500一块intel的服务器主板Intel S5000VSA 2280。2G内存单条DDR667的800.

=。=这是最新的报价。这样的机器要怎么用才能性能最大呢？企业和网吧在一个需要稳定性的机器上做这点投资是很正常的。何必非要强调在老机器上运行。

Lucifer · 发表于 2007-8-23 20:16:08

至于支持6.2后随便配置的一台3000的电脑（不带显示器）那样的性能要如何发挥呢？

panabit · 发表于 2007-8-23 20:23:40

原帖由 Lucifer 于 2007-8-23 20:16 发表
至于支持6.2后随便配置的一台3000的电脑（不带显示器）那样的性能要如何发挥呢？

对于100M环境，现在随便一台机子足够应付NAT + Panabit。
可以买一个配置低一些的工控机（大概3000多块），工控机相对稳定一些。

Lucifer · 发表于 2007-8-23 20:28:37

工控机。。。。。我知道稳定。同样的价钱我可以弄一个intel4核处理器和2G内存的机器了。

		自动登录	找回密码
密码			注册