-
Notifications
You must be signed in to change notification settings - Fork 622
应用过滤原理和特性
Derry edited this page Oct 8, 2021
·
1 revision
应用过滤基于linux netfilter框架实现,采用内核hook的方式对数据报文分析和拦截,钩子点在ip层的forward,工作在三层,所以要想应用过滤生效,必需保证数据经过了路由器三层转发。
由于应用过滤包含linux内核模块,依赖于编译的linux内核版本和配置,插件的安装要求严格,在同一套代码编译出来的插件才能够安装到对应的固件中,所以建议将应用过滤直接编译进固件使用。
特征库是指特征码的集合,特征码定义了某个app的过滤规则,如app联网的端口号、域名、数据特征等。特征码的提取需要反复分析app发送的报文,要防止误判、错判等,是一件非常繁琐的工作,应用过滤只提供一个通用的过滤框架,特征码的准确性不能保证,如出现误判可以自行提取。
目前支持常用的视频、游戏、购物等几百款app,如王者荣耀、斗鱼、抖音、和平精英、淘宝等。