咱来说说母机监控小机运行的网站

magicbear

360安全卫士 发表于 2012-7-5 15:12
你的带宽占用比我那突发相差多少倍？

超过100倍   我单服务器都超过你那突发30倍+

qiqi13245

magicbear 发表于 2012-7-5 15:13
超过100倍

- -不对呀 几百万PPS 对于http来说不正常 难道宽带几十G。。

magicbear

qiqi13245 发表于 2012-7-5 15:16
- -那也不至于全部跑满吧

160多W PPS不是纯HTTP 但大概有70-80%是HTTP的

domin

qiqi13245 发表于 2012-7-5 15:14
- -不对呀 几百万PPS 对于http来说不正常 难道宽带几十G。。

如果是HTTP的话就太叼了

qiqi13245

magicbear 发表于 2012-7-5 15:16
我的确有超过10G的带宽

- -那也不至于全部跑满吧

360安全卫士

喷子 ---------------------------> 绕道


首先来看下HTTP协议请求的一个example，
比如刷新HOSTLOC的时候，浏览器会向64.62.177.189的主机发送如下的HTTP数据包：

1. Request URL:http://loc.201812.xyz/forum.php?mod=ajax&action=forumchecknew&fid=45&time=1341468405&uncheck=1&inajax=yes&inajax=1&ajaxtarget=forumnew
   
2. Request Method:GET
   
3. Status Code:200 OK
   
4. Accept:*/*
   
5. Accept-Charset:GBK,utf-8;q=0.7,*;q=0.3
   
6. Accept-Encoding:gzip,deflate,sdch
   
7. Accept-Language:zh-CN,zh;q=0.8
   
8. Connection:keep-alive
   
9. Cookie:为安全隐藏;
   
10. Host:www.hostloc.com
    
11. Referer:http://loc.201812.xyz/forum-45-1.html
    
12. User-Agent:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.56 Safari/536.5
    
13. X-Requested-With:XMLHttpRequest

复制代码

假设在嗅探到了网络数据包，分析抓到上面包时，对我们有用的，可能就只有那个URL和目标主机的IP地址（小机IP）。为什么不建议在母机上嗅探？朋友被网监监控中，QQ秒掉，网络暴卡。况且若在母机上嗅探，势必要用到正则表达式，就算效率再高再迅速，在大量请求经过时也会占用不少的CPU，母机上的小机的性能会打折扣。而网关（若自带有此功能的最好）上有专门硬件设备，况且网关通常不运行其它服务，CPU占用牺牲一点也无所谓的，

建议嗅探入流量。

https流量无法嗅探到具体URL。

好了，编辑完毕，喷子来舔。

360安全卫士

编辑完毕

liudehua

360最近很活跃。

domin

网关也就是路由, 一般没直接分析数据包的功能, 都要把流量转发到别的设备分析.
流量不大的话本机分析其实占不了多少资源

360安全卫士

domin 发表于 2012-7-5 14:19
网关也就是路由, 一般没直接分析数据包的功能, 都要把流量转发到别的设备分析. ...

网关可以像刷多拨那样刷机么