艾體寶干貨 OIDA之二：掌握數(shù)據(jù)包分析-學(xué)會(huì)識(shí)別

在 OIDA方法（觀察、識(shí)別、剖析、分析）中，識(shí)別階段對(duì)于在捕獲的網(wǎng)絡(luò)流量中精確定位相關(guān)數(shù)據(jù)至關(guān)重要。本文重點(diǎn)介紹如何在這一關(guān)鍵步驟中有效使用 Wireshark和 Profitap的 IOTA。

OIDA方法系列文章主要包含四個(gè)部分，分別是觀察、識(shí)別、剖析和分析。本文是該系列的第二部分——學(xué)會(huì)識(shí)別。

一、Wireshark：深入研究相關(guān)對(duì)話

Wireshark提供了幾種功能強(qiáng)大的工具，用于識(shí)別重要的流量模式和對(duì)話。

（一）對(duì)話框（Conversations dialog）

對(duì)話框是識(shí)別網(wǎng)絡(luò)端點(diǎn)之間通信模式的重要工具。

訪問(wèn)對(duì)話框： 統(tǒng)計(jì) >對(duì)話（Statistics > Conversations）

查看按各種標(biāo)準(zhǔn)（字節(jié)、數(shù)據(jù)包、持續(xù)時(shí)間）排序的對(duì)話

右鍵單擊會(huì)話，將其用作顯示過(guò)濾器

（二）將對(duì)話框與顯示過(guò)濾器結(jié)合使用

將對(duì)話框與顯示過(guò)濾器結(jié)合使用，可以實(shí)現(xiàn)精確的流量隔離：

應(yīng)用初始顯示過(guò)濾器（如 http）

打開(kāi)對(duì)話框查看特定于 HTTP的對(duì)話

右鍵單擊感興趣的對(duì)話并選擇應(yīng)用為過(guò)濾器

現(xiàn)在，顯示過(guò)濾器將只顯示該特定 HTTP會(huì)話的流量

通過(guò)這種方法可以逐步完善視圖，有助于將相關(guān)流量歸零。

（三）端點(diǎn)對(duì)話框

端點(diǎn)對(duì)話框匯總了捕獲中的所有端點(diǎn)：

通過(guò)統(tǒng)計(jì) >端點(diǎn)訪問(wèn)( Statistics > Endpoints)

識(shí)別主要通話者或可疑端點(diǎn)

與對(duì)話框結(jié)合使用，跟蹤端點(diǎn)通信

（四）協(xié)議層次結(jié)構(gòu)

Protocol Hierarchy（協(xié)議層次結(jié)構(gòu)）窗口提供捕獲中存在的協(xié)議細(xì)目：

通過(guò) “統(tǒng)計(jì)”>“協(xié)議層次結(jié)構(gòu) ”(Statistics > Protocol Hierarchy)訪問(wèn)

快速識(shí)別主要協(xié)議

發(fā)現(xiàn)可能顯示問(wèn)題的異常或意外協(xié)議

（五）使用協(xié)議層次結(jié)構(gòu)

確認(rèn)預(yù)期的應(yīng)用程序行為

識(shí)別潛在的安全問(wèn)題（如意外協(xié)議）

指導(dǎo)進(jìn)一步過(guò)濾和分析

二、IOTA：實(shí)時(shí)識(shí)別和過(guò)濾

Profitap的IOTA提供實(shí)時(shí)儀表盤，可快速突出顯示網(wǎng)絡(luò)流量中值得關(guān)注的區(qū)域。在儀表盤之間切換和過(guò)濾數(shù)據(jù)的功能可讓您快速?gòu)镍B(niǎo)瞰視圖轉(zhuǎn)向數(shù)據(jù)包級(jí)細(xì)節(jié)。

（一）應(yīng)用程序概覽儀表板

應(yīng)用程序總覽儀表板可提供網(wǎng)絡(luò)上應(yīng)用程序使用情況的即時(shí)概覽。

主要功能：

實(shí)時(shí)查看活動(dòng)應(yīng)用程序

每個(gè)應(yīng)用程序的帶寬使用情況

快速過(guò)濾功能

有效使用：

監(jiān)控意外應(yīng)用流量

當(dāng)報(bào)告特定應(yīng)用程序出現(xiàn)問(wèn)題時(shí)，使用儀表板快速過(guò)濾并關(guān)注該應(yīng)用程序的流量

（二）TCP分析儀表板

IOTA中的TCP分析儀表板可與Wireshark的對(duì)話對(duì)話框相媲美，但可提供實(shí)時(shí)見(jiàn)解。

如何使用：

識(shí)別熱門通話者和最繁忙的對(duì)話

點(diǎn)擊特定流量，深入查看詳細(xì)的數(shù)據(jù)包數(shù)據(jù)

使用過(guò)濾選項(xiàng)關(guān)注特定 IP地址、端口或協(xié)議

TCP分析儀表板可實(shí)時(shí)快速識(shí)別異常流量模式或潛在瓶頸。

三、結(jié)論

掌握數(shù)據(jù)包分析中的識(shí)別階段包括有效使用 Wireshark的對(duì)話框、端點(diǎn)對(duì)話框和協(xié)議層次結(jié)構(gòu)等工具，以及 IOTA的應(yīng)用程序和流量?jī)x表板。利用這些工具，分析人員可以快速定位相關(guān)數(shù)據(jù)、識(shí)別異常模式，并將調(diào)查重點(diǎn)放在最相關(guān)的信息上。

本文是系列文章的第二部分，后續(xù)文章將深入探討OIDA的“剖析”和“分析”階段。

下面是OIDA識(shí)別核對(duì)表，通過(guò)遵循此核對(duì)表并有效使用所討論的工具，分析師可以確保在識(shí)別階段采用全面的方法，為數(shù)據(jù)包分析的后續(xù)階段奠定堅(jiān)實(shí)的基礎(chǔ)。

附：OIDA識(shí)別核對(duì)表

為確保在識(shí)別階段采取徹底的方法，請(qǐng)考慮以下核對(duì)表：

您是否使用了 Wireshark的協(xié)議層次結(jié)構(gòu)來(lái)概述捕獲中的協(xié)議？

是否使用 Wireshark的 “對(duì)話 ”對(duì)話框或 IOTA的 “TCP分析 ”儀表板確定了主要對(duì)話？

您是否在 Wireshark中應(yīng)用了適當(dāng)?shù)娘@示過(guò)濾器來(lái)關(guān)注相關(guān)流量？

如果使用 IOTA，您是否使用了應(yīng)用程序儀表板來(lái)識(shí)別和過(guò)濾特定應(yīng)用程序流量？

您是否使用 Wireshark的端點(diǎn)對(duì)話框或 IOTA的 TCP分析儀表板交叉引用了感興趣的端點(diǎn)？

您是否發(fā)現(xiàn)了任何需要進(jìn)一步調(diào)查的意外協(xié)議或應(yīng)用程序？

您是否使用了過(guò)濾技術(shù)來(lái)隔離特定對(duì)話或數(shù)據(jù)流以進(jìn)行更深入的分析？

是否檢查了流量模式中的任何異?；蛞馔獾母吡髁繒?huì)話？

如果正在調(diào)查報(bào)告的問(wèn)題，您是否成功隔離了與受影響應(yīng)用程序或服務(wù)相關(guān)的流量？

您是否已準(zhǔn)備好根據(jù)初步發(fā)現(xiàn)中出現(xiàn)的新信息對(duì)識(shí)別流程進(jìn)行迭代？

歡迎前往艾體寶itbigtec了解更多Profitap-IOTA！

審核編輯 黃宇