※ 引述《c7ht (買新時計過新生活)》之銘言： : ※ 引述《seehakoo (師公)》之銘言： : : 就是當有 : : source IP destination IP 兩端電腦的port孔 封包大小 通訊協定 : : (例如: TCP/UDP ) 這些資料 : : 因為是用機器監聽的 所以可以計算出 某IP的流量 跟 sessions數 : : 以長期來看..可以監聽到哪個IP固定是以哪個port接收資料 哪個port發出資料 : : 大概可以知道哪個IP 有問題... : : 能請問說..還有哪些方式可以利用上述的功能挖出更多的資料 : 想知道怎樣的資料呢？ : 看port可以猜大概是在進行那類的行為 : 有些行為是用固定的port : 看封包大小也可以知道一些資訊 : 如果網路設備可以丟netflow的話 : 是可以利用軟體丟進資料庫裡 作查詢分析的 : 不曉得這樣有回答到你的問題嗎？ 完蛋了 @@ 我終於發現到我完全表達到錯誤的意思了 第一篇 只是感覺很疑惑而已.. 而當 第二次有大大回覆的內容 才發現到我問錯方向了 而我標綠色的那一行 應該要改成 " 請問 : 還有哪些網路行為模式 可以利用上述的資訊 來分析或整理出來的 ?? " 重新我的問題好了 真是對不起各位大大的時間 我想問的是 : 當你有 上述的 src IP/ dest IP / 流量 / port /封包 等資料時 那你該怎麼利用以上的這些資料 再去找出其他的行為模式 例如 發現有某IP 一直是以 p2p 慣用的port 對外作聯繫 ( 這就利用到 IP 與 port 的資訊 給程式去跑 程式分析後 發現疑似 有某IP 長期在進行p2p的聯繫 ) 所以說 p2p 是我找到的一個解 她可以利用長期的監控而發現到 而 想問大大們的就是 還有哪些的行為模式 是可以利用上述的資料去發現的 ?? 像是 某種的網路攻擊 (可是我不知道有哪種的網路攻擊是可以從那些資料中 發現到的 ) 還有 有人私架FTP 或某私服 還是 網站等 應該都可以由那些訊息去分析出來吧.. 主要的目的 就是要寫一個程式 她可以分析上述 input 的資訊 然後可以 output 出 哪些的網路行為 或疑似某種的活動 還是流量的監控 主要是我想不出 還有哪些的行為 可以由那些資訊去分析出來 我的表達可能有點爛 請大大們多多見諒了 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.141.139.114