多条iptables规则，netfilter的连接跟踪（ip_conntack）加速应用程序的识别

独孤九贱

回复  独孤九贱


    独孤九贱兄，识别过程求详解
lujian19861986 发表于 2011-10-26 10:53

哈哈，你代码都贴出来了，还用我详解吗？

AC多模匹备，可以加速那些针对特征码的应用程序的识别，类似地正则表达式也可以这样做（只是要面临内存空间的暴炸问题，google有一篇关于此的论文，你找找，将L7性参提升6000多倍吧）。不过这两种匹备算法对一些应用程序都存在缺陷，可能P-code+VM（类似bpf）是很好的解决方法，不过也面临all in one的问题，你需要了争MPF/BPF+算法。我想这些东东最终都需要结合应用程序特征的检测，提炼出自己的描述语言及检测引擎来，这个工作真不容易，祝你好运。

一家之言，仅供参考。

Godbach

回复 21# 独孤九贱
九贱兄是专家。

独孤九贱

回复  独孤九贱
九贱兄是专家。
Godbach 发表于 2011-10-27 10:03

哈哈，哥德兄，你不是在绕弯骂我吧

最近我也在思考这个问题，想抽像出一个检测引擎出来。

Godbach

回复 23# 独孤九贱

怎么会啊。

我是知道你最近在研究一些 P2P 的识别，肯定有很多牛叉的经验

lujian19861986

回复 21# 独孤九贱


    嗯嗯，谢谢，非常好哦。以上是为了对已知流量进行加速识别。请问有没有对未知P2P流（加密）识别及其流特征自动提取技术研究？在模块中（比如-m ipp2p），调用conntrack = ip_conntrack_get((struct sk_buff *)skb, &ctinfo)); 获得当前封包的conntrack ，能否每2分钟遍历一下conntrack 中的全部stream，判断哪些符合p2p的流特征（peers ip port对多，持续时间长）？

lujian19861986

回复 9# godbach


    请问有没有对未知P2P流（加密）识别及其流特征自动提取技术研究？在模块中（比如-m ipp2p），调用conntrack = ip_conntrack_get((struct sk_buff *)skb, &ctinfo)); 获得当前封包的conntrack ，能否每2分钟遍历一下conntrack 中的全部stream，判断哪些符合p2p的流特征（peers ip port对多，持续时间长）？

lujian19861986

回复 21# 独孤九贱


    ac_bnfa字符串 多模式匹配。