围城

本次实验过程中，需要使用ebpf的xdp执行网络数据包的操作，需要在协议栈正式处理数据包之前，对数据包进行处理，然后判断是继续向上发送数据包，还是丢弃等操作。但是在开发这部分程序的过程中，遇到了问题却比较难排查。本质上，是我对这部分的开发还不够熟练，毕竟也就是简单看了看资料， 然后就直接在网上扒代码使用了。

20240603 -

20230304 -（非专业人士，简单记录自己的需求和思考）

虽然最后弄到了我想要的结果，但是实际上，还是没有从本质的反扒策略上搞清楚到底咋回事。就比如说，我想看看他到底怎么检测的，还是得从源码的角度来弄。不过我看了看，这些视频网站最后断点位置的代码都比较相似，估计都是使用了类似的库，所以后续可以看看到底是哪个库，然后弄明白他是利用了什么检测方式。

0. 引言我记得之前的时候，我专门写过一篇文章来记录相关的工具，年代比较久远了，应该得19年的时候了。这次专门再提供一个文章来记录，当然，如果有时间回顾文章的时候，还会把这两部分内容给合并起来。1. 相关工具PCAP工具Hadoop处理网络日志python网络流量分析通用框架Malcolm 流量处理框架（有界面使用其他产品maloch、elk）Maltrail恶意流量监测PACP通信关系可视化恶意软件流量分析辅助工具（例如流量转发）NETCAP流量分析审计工具...

20210301 -0. 引言大概一年半之前，让学生整理过关于DPI的内容，当时让他部署过nDPI的DPDK版本；当时给我的DPI的材料也没仔细看，这里直接贴到这里来。（材料中的内容应该也是从别的地方复制粘贴的，基本上就是一些显而易见的材料）1. DPI1.1 DPI是什么DPI（deep packet inspection）全称深度数据包检测，是一种计算机网络数据包过滤技术，用来检查通过检测点之数据包的数据部分（亦可能包含其标头），以搜索不匹配规范之协议、病毒、垃圾邮件、入侵，或以预定之准则来

2017/05/20LIBnids这个库，对于关闭的两个状态，理解的不是很清楚。就是，CLOSE算一个状态，CLOSE之前并不调用EXITING的语句。这就很尴尬。目前就当这两个是同一个状态，。但是看着有些数据包是关闭的，结果显示不关闭，这尼玛？？！那到底，怎么样才算是关闭的呢？？？对于我来说我的数据传输完毕了，而且，也看到FIN标志位，还他妈想要啥。？？？！查看源代码之后，就有...

2018/1/4昨天也是熬了很久的这个东西，到底libnids的这个东西，都有哪些校验和要去做。也是突然就明白了这回事，他的函数并不是那么完美。他使用指针的缘故也就是他直接取了地址。所以，我在一个函数里面声明了一个定义之后，这块内存失效了之后就没有办法继续校验了。其实最大的原因还是使用了函数里面的临时变量去进行注册。也不能一味的怪我，我也不知道他是这样的实现。看了源码才知道他就拿了...

2017/04/17这个问题，其实严重影响到我分类的这个过程。我着重从报文长度来设计。而且，其实这部分的内容就是因为两个报文之间的间隔时间太短了。反正就是，我不管是在什么环境下测试，都必须将这个问题注意到。（那边的机器会不会受这个影响）平时用Wireshark进行抓包的时候，会出现一些很长的包，明显高于我原本理解的那个MTU什么的。我以为只是TCP重组之后，弄出来的一个全新的报文。...

2017/04/20本次想实验下，从一堆报文里面分类出来HTTP的。（这个只记录最开始的设想，后续最好是将再写一次记录文档，把内容都分清楚。）（只用一些统计特征）数据集：241上抓取的，包括了VNC、SSH及一个访问百度的HTTP报文。训练数据集：原来抓取的存粹的访问百度的HTTPS的样本。（样本集太少）最开始的设计，还是不够明确， 没有把各个函数与文件的关系构建好，所有的函数都挤压到...

20200914 -0. 引言翻出来很久之前的代码， 当时是测试是否可以修改PCAP包中的端口号，通过DPKT直接修改就好，例如下面的代码就是将PCAP中的一条流的端口22编程5022。#修改端口if tcp.dport == 22: tcp.dport = 5022if tcp.sport == 22: tcp.sport = 5022其实经过了这个步骤，如果你不需要校验和必须正确的话，在wireshark中是可以解析的（不开TCP校验和）。本篇文章中，记录一下怎么修改TCP

2018/1/17http://blog.youkuaiyun.com/liziyun537/article/details/7380161https://www.cnblogs.com/jason2013/articles/4346639.html