※ 引述《c7ht (买新时计过新生活)》之铭言： : ※ 引述《seehakoo (师公)》之铭言： : : 就是当有 : : source IP destination IP 两端电脑的port孔 封包大小 通讯协定 : : (例如: TCP/UDP ) 这些资料 : : 因为是用机器监听的 所以可以计算出 某IP的流量 跟 sessions数 : : 以长期来看..可以监听到哪个IP固定是以哪个port接收资料 哪个port发出资料 : : 大概可以知道哪个IP 有问题... : : 能请问说..还有哪些方式可以利用上述的功能挖出更多的资料 : 想知道怎样的资料呢？ : 看port可以猜大概是在进行那类的行为 : 有些行为是用固定的port : 看封包大小也可以知道一些资讯 : 如果网路设备可以丢netflow的话 : 是可以利用软体丢进资料库里 作查询分析的 : 不晓得这样有回答到你的问题吗？ 完蛋了 @@ 我终於发现到我完全表达到错误的意思了 第一篇 只是感觉很疑惑而已.. 而当 第二次有大大回覆的内容 才发现到我问错方向了 而我标绿色的那一行 应该要改成 " 请问 : 还有哪些网路行为模式 可以利用上述的资讯 来分析或整理出来的 ?? " 重新我的问题好了 真是对不起各位大大的时间 我想问的是 : 当你有 上述的 src IP/ dest IP / 流量 / port /封包 等资料时 那你该怎麽利用以上的这些资料 再去找出其他的行为模式 例如 发现有某IP 一直是以 p2p 惯用的port 对外作联系 ( 这就利用到 IP 与 port 的资讯 给程式去跑 程式分析後 发现疑似 有某IP 长期在进行p2p的联系 ) 所以说 p2p 是我找到的一个解 她可以利用长期的监控而发现到 而 想问大大们的就是 还有哪些的行为模式 是可以利用上述的资料去发现的 ?? 像是 某种的网路攻击 (可是我不知道有哪种的网路攻击是可以从那些资料中 发现到的 ) 还有 有人私架FTP 或某私服 还是 网站等 应该都可以由那些讯息去分析出来吧.. 主要的目的 就是要写一个程式 她可以分析上述 input 的资讯 然後可以 output 出 哪些的网路行为 或疑似某种的活动 还是流量的监控 主要是我想不出 还有哪些的行为 可以由那些资讯去分析出来 我的表达可能有点烂 请大大们多多见谅了 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 220.141.139.114