0

アナライザースクリプトに取り組んでいます。これは、tcpdumpスニッフィングキャプチャにロジックを適用する単純なbashスクリプトです。

私の仕事は、個々のIPによって行われた同時セッションの数を見つけることです。私が適用したロジックは、同じ宛先IPとポート(プロキシサーバーであるため3128)の各IPによる異なる送信元ポート要求をカウントしたことです。

たとえば、私のdest ipが172.31.1.1で、destポートが3128であるとします。

これで、このdestポートとdestipに限定されたトラフィックをスニッフィングしました。

次に、各パケットの送信元IPと送信元ポートのペアを除外しました。

次に、送信元IPごとに異なる送信元ポートの数を数えました。これは、このプロキシサーバーとの個々のIPごとに行われる同時セッションの数に等しいと思います。

10,000パケットのサンプルについて、実行中のプロキシサーバーでの出力を見ると、各IPによるセッション数は300、250、200のようになり、それよりも少なくなります。1万ルピーの場合も3000,2500のようになります。

ファイアウォールで許可される同時セッションの数はIPあたり100であるため、セッションの解釈に何か問題がありますか。

4

1 に答える 1

2

コメントで述べたように、任意の時点で単一のソースIPからのTCP接続の数を知りたい場合は、接続の確立(TCP 3ウェイハンドシェイク)と終了(4ウェイティアダウンとリセット)を把握する必要があります。)ポイント。それ以外の場合は、キャプチャの全期間にわたって、特定のIPから確立および試行されたすべてのTCP接続をカウントします(ただし、キャプチャ期間中に一時的なクライアントポートがリサイクルされる可能性があるため、このカウントでも正確でない場合があります)。

TCPはパケットを再送信する傾向があるため、aで接続の実行カウントを増やし、またはSYNでそれを減らすだけでは不十分であることに注意してください。TCP状態を追跡する必要があるため、TCP状態図に精通している必要があります。FINRST

TCP状態遷移図

((http://upload.wikimedia.org/wikipedia/commons/thumb/a/a2/Tcp_state_diagram_fixed.svg/250px-Tcp_state_diagram_fixed.svg.pngから)。

于 2013-01-30T20:48:41.223 に答える