Panabit Support Board!

 找回密码
 注册

QQ登录

只需一步,快速开始

楼主: baggio

收集帖:请提交您的网络中流量占据前5名或应用较广泛的前5种协议名称!

[复制链接]
发表于 2007-8-22 18:53:42 | 显示全部楼层
原帖由 sunny 于 2007-8-22 18:29 发表
电信级流量控管必须依靠协议分析来做。但作为企业级网络而言,玩P2P和游戏往往是少数人,对一些具备发出连接报文量大(而且多数为半连接)、目标端口1024以上、连续上传量大等特征的节点进行封堵,即便对正常协 ...


你说得很有道理,所以,我们下一步想将未知协议做进一步细分,比如细分成:

--其它流量
   -- TCP SYN, ACK
   -- 疑似eMule加密
   -- 疑似BT加密
   -- 非IP
   -- 非TCP/UDP
   -- 未知应用

现在的关键是,未知应用如何进一步细分?您的意见?

我们希望增加的另外一个功能是: 增加用户自定义协议。就是可以让用户定义自己的协议,然后再给用户增加节点管理功能,这样对于游戏类协议,
只需要我们将游戏服务器地址 + 端口找出来,然后我们大家共同来维护这样的一个节点库就可以了。 您的意见?
发表于 2007-8-22 23:20:01 | 显示全部楼层
根据P2P传输的特征,一个P2P客户端运行时,会试图连接外部所有已知的P2P客户端(IP可以从TRACKER服务器中获取),由此,可以用统计的方法和单位时间内未知协议的连接(包括半连接)报文数量阀值确定可疑P2P节点.
在Panabit中增加一种规则定义,对可疑P2P节点可选:限速、阻断、阻断n秒。达到干扰P2P的目的。事实上,只要一段时间内P2P无法正常使用,那些使用者可能会失去兴趣而放弃。

不知可不可行?

[ 本帖最后由 sunny 于 2007-8-22 23:23 编辑 ]
发表于 2007-8-22 23:30:17 | 显示全部楼层
原帖由 sunny 于 2007-8-22 23:20 发表
根据P2P传输的特征,一个P2P客户端运行时,会试图连接外部所有已知的P2P客户端(IP可以从TRACKER服务器中获取),由此,可以用统计的方法和单位时间内未知协议的连接(包括半连接)报文数量阀值确定可疑P2P节点.
在P ...


BT使用tracker,但是也可以使用DHT,还可能直接使用本地CACHE的节点,因此仅仅通过tracker是不够的。
有可能只有一条未知连接,但是这条连接的速率非常大,因此仅仅通过外部行为特征是很难界定的。
所以,所有号称可以通过行为特征进行识别的都带有噱头成分在里面。

对于BT,倒是可以通过分析DHT和Tracker应答包来确定外部节点,但是这可能会导致一些性能问题。早期Panabit
也使用过这种方法。

不过我们可以考虑将这作为选项存在。
发表于 2007-8-22 23:32:40 | 显示全部楼层
我测过,控制住工作站的并发数为280,P2P的速度就不会快到那里去.
发表于 2007-8-23 00:04:45 | 显示全部楼层
原帖由 gb43254 于 2007-8-22 23:32 发表
我测过,控制住工作站的并发数为280,P2P的速度就不会快到那里去.


你看这样行不,我们再增加一个并发数控制策略。
现有的策略我们可以看作是流量相关的控制策略,我们再增加一个并发数控制策略,这套控制策略同现有的策略是平行的。
发表于 2007-8-23 17:31:28 | 显示全部楼层
原帖由 pptppt 于 2007-8-23 17:16 发表
我看到一家放火墙是这样控制流量的:
流量策略:
策略1:当线用是x时,每IP流量y
策略2:当线用是X时,每IP流量y
策略3:当线用是X时,每IP流量y
.......

并发策略:
策略1:当线用是X时,每IP并发y
策略2:当 ...


不明白?是不是有错别字?
发表于 2007-8-23 20:12:20 | 显示全部楼层
原帖由 panabit 于 2007-8-22 12:19 发表


你的建议很好!

这个我们也想了很久,问题的关键是,如何定义异常流量。异常流量的发现不是问题,关键是要将其定义清楚。
另外,在一个网络环境中的异常流量,放在另外一个不同的网络环境中,就可能不是 ...



……我觉得这样下去不好。这样下去panabit会越来越复杂。关注面太多了不好。

我的意见是在一台机器上panabit可以配合bsd系统下流行的路由软件还有防火墙软件以及ide等防护软件。

我觉得panabit可以分成两部分去做。协议分析以及控制的内核部分,还有一个基于web的综合管理界面可以联合操作主流路由和防火墙。

比如连接数等路由和防火墙的功能就要他们去做就好了。panabit就是专心做协议分析其他什么都不用管。其他东西的功能就叫其他已经成熟的软件去做这样不是很好吗?




我知道这样做可能会影响效率但是我觉得现在的机器性能下达到100M甚至1000M绝对没问题了。处理器占用低不是什么好事。如何把机器的性能全面的使用体现价值才是真正的使用。


目前4核的至强才3500一块intel的服务器主板Intel S5000VSA 2280。2G内存单条DDR667的800.

=。=这是最新的报价。这样的机器要怎么用才能性能最大呢?企业和网吧在一个需要稳定性的机器上做这点投资是很正常的。何必非要强调在老机器上运行。
发表于 2007-8-23 20:16:08 | 显示全部楼层
至于支持6.2后随便配置的一台3000的电脑(不带显示器)那样的性能要如何发挥呢?
发表于 2007-8-23 20:23:40 | 显示全部楼层
原帖由 Lucifer 于 2007-8-23 20:16 发表
至于支持6.2后随便配置的一台3000的电脑(不带显示器)那样的性能要如何发挥呢?


对于100M环境,现在随便一台机子足够应付NAT + Panabit。
可以买一个配置低一些的工控机(大概3000多块),工控机相对稳定一些。
发表于 2007-8-23 20:28:37 | 显示全部楼层
工控机。。。。。我知道稳定。同样的价钱我可以弄一个intel4核处理器和2G内存的机器了。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|北京派网软件有限公司 ( ICP备案序号:京ICP备14008283号 )

GMT+8, 2024-11-22 00:44 , Processed in 0.070475 second(s), 12 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表