JnetPcap (JNETPCAP は libpcap の Java ラッパー) を使用して接続の SYN エラーをチェックする方法は? また、接続中の REJ エラーを確認する方法を教えてください。
侵入検知システムを構築しています。現在、ライブシステム用の KDD CUP 99 データセットの属性を抽出しています。
どんな参照も私にとって役に立ちます。
2509 次
1 に答える
3
Broを使用して、接続/フローのステータスを確認できます。このために、Bro を次のように実行します。
bro -r trace.pcap
これにより、接続ステータスを反映conn.logする列を含むファイルが生成されます。フィールドの関連値を次に示します。詳細については、ドキュメントconn_stateを参照してください。
- S0 : 接続試行が見られましたが、応答がありません。
- S1 : 接続が確立されましたが、終了されていません。
- SF : 正常な確立と終了。これは状態 S1 と同じ記号であることに注意してください。S1 の場合はサマリーにバイト カウントがないのに対し、SF の場合はバイト カウントがあるため、この 2 つを区別できます。
- REJ : 接続試行が拒否されました。
- RSTO : 接続が確立され、発信元が中止されました (RST が送信されました)。
- RSTR : 確立され、レスポンダが中止されました。
余談ですが、IDS の研究コミュニティは、DARPA データセット (および派生した KDD カップ データセット) の利用は魅力的であるにもかかわらず、その使用を強く思いとどまらせています。
于 2012-04-08T17:48:54.313 に答える