NTM应用识别-自定义协议
跳到导航
跳到搜索
在该模块中,可以添加自定义协议,每个自定义协议可以添加自定义特征。
自定义特征分为三类:
- 端口特征
- IP+端口特征
- 域名特征
每个自定义协议可以同时添加这三种特征,会话命中其中任何一种特征,就会被识别为该自定义协议。
端口特征
在创建自定义时可添加端口特征,如果一个自定义协议填入多个端口,任何一个端口被命中都会被识别成该自定义协议。
IP+端口特征
点击【节点管理】,可添加IP+端口特征。这里的IP+端口指的是目标IP+目标端口。当会话的目标IP+目标端口被命中,就会被识别成对应的自定义协议。
域名特征
点击【域名关联】,可添加域名特征。域名特征的原理是将域名与IP做关联。“跟踪DNS”和“跟踪HOST”就是获取会话中域名与IP对应关系的手段。因此在添加域名特征时,“跟踪DNS”和“跟踪HOST”都选择“yes”比较好。当会话中的域名命中了域名特征,就会被识别成对应的自定义协议。
