Panabit 自定义协议说明
Panabit 自定义协议说明
自定义协议能够作为系统特征库的补充,我们可以将已知的数据包特征,通过自定义协议,
将符合这些特征的数据包识别出来。
自定义协议特征的识别优先级高于系统自带的特征库。
创建自定义协议
在【应用识别】->【自定义协议】中可以创建一个自定义协议。创建时必须填写英文名称(系
统内部调用)和中文名称(页面显示)。
自定义的三种特征
1)端口特征
直接编辑自定义协议,可以添加 TCP/UDP 端口特征。
2)IP+端口特征
在节点管理里添加 IP+端口特征。
从【应用识别】- >【自定义协议】->【节点管理】根据数据包的目标 IP+端口进行识别,在
所属协议处,可以选中我们之前创建的自定义协议进行目标 IP 及端口来定义识别协议,也
可以选择对系统自带特征库名称进行 IP 端口的协议补充。
节点管理端口填写 65535 表示跟踪整个 IP,域名关联端口填写 65535 表示跟踪所有端口,
需通过命令 floweye dpi config gametrack_enable=1 开启识别。
3)域名特征
从【应用识别】- >【自定义协议】->【域名关联】,添加域名特征,域名特征匹配逻辑是后
缀匹配。
跟踪 DNS 选项,开启后会跟踪 DNS 报文里域名和 IP 的对应关系;
跟踪 host 选项,开启后会跟踪 http 和 https 报文中的域名信息,端口 1,端口 2,是附带
条件,即匹配域名条件的同时还需要匹配端口条件。
总结
自定义协议所添加三种的特征,数据包如果匹配了其中任何一种特征,就会被识别成该自定
义协议。
域名特征本质上是一种节点跟踪技术,通过域名和找到其对应的 IP,然后将其变成自定义
协议的节点。
数据包会首先匹配自定义协议,未匹配上再去匹配系统特征库。
Tags: