艾體寶干貨丨OIDA之二：掌握數(shù)據(jù)包分析-學會識別

簡介：

本文是OIDA方法系列的第二部分，重點介紹了數(shù)據(jù)包分析的“識別”階段。通過使用Wireshark和IOTA，分析人員能夠精確定位網(wǎng)絡流量中的相關數(shù)據(jù)，識別異常模式，過濾并專注于重要對話和協(xié)議。同時，通過TCP分析儀表板和應用程序儀表板等工具，分析人員可以快速定位流量瓶頸，提升數(shù)據(jù)包分析的效率。

在 OIDA 方法（觀察、識別、剖析、分析）中，識別階段對于在捕獲的網(wǎng)絡流量中精確定位相關數(shù)據(jù)至關重要。本文重點介紹如何在這一關鍵步驟中有效使用 Wireshark 和 Profitap 的 IOTA。

OIDA方法系列文章主要包含四個部分，分別是觀察、識別、剖析和分析。本文是該系列的第二部分——學會識別。

一、Wireshark：深入研究相關對話

Wireshark 提供了幾種功能強大的工具，用于識別重要的流量模式和對話。

對話框（Conversations dialog）

對話框是識別網(wǎng)絡端點之間通信模式的重要工具。

1.訪問對話框： 統(tǒng)計 > 對話（Statistics > Conversations）

2.查看按各種標準（字節(jié)、數(shù)據(jù)包、持續(xù)時間）排序的對話

3.右鍵單擊會話，將其用作顯示過濾器

將對話框與顯示過濾器結合使用

將對話框與顯示過濾器結合使用，可以實現(xiàn)精確的流量隔離：

1.應用初始顯示過濾器（如 http）

2.打開對話框查看特定于 HTTP 的對話

3.右鍵單擊感興趣的對話并選擇 "應用為過濾器

4.現(xiàn)在，顯示過濾器將只顯示該特定 HTTP 會話的流量

通過這種方法可以逐步完善視圖，有助于將相關流量歸零。

端點對話框

端點對話框匯總了捕獲中的所有端點：

1.通過統(tǒng)計 > 端點訪問( Statistics > Endpoints)

2.識別主要通話者或可疑端點

3.與對話框結合使用，跟蹤端點通信

協(xié)議層次結構

Protocol Hierarchy（協(xié)議層次結構）窗口提供捕獲中存在的協(xié)議細目：

1.通過 “統(tǒng)計”>“協(xié)議層次結構 ”(Statistics > Protocol Hierarchy)訪問

2.快速識別主要協(xié)議

3.發(fā)現(xiàn)可能顯示問題的異常或意外協(xié)議

使用協(xié)議層次結構

1.確認預期的應用程序行為

2.識別潛在的安全問題（如意外協(xié)議）

3.指導進一步過濾和分析

二、IOTA：實時識別和過濾

Profitap的IOTA提供實時儀表盤，可快速突出顯示網(wǎng)絡流量中值得關注的區(qū)域。在儀表盤之間切換和過濾數(shù)據(jù)的功能可讓您快速從鳥瞰視圖轉向數(shù)據(jù)包級細節(jié)。

應用程序概覽儀表板

應用程序總覽儀表板可提供網(wǎng)絡上應用程序使用情況的即時概覽。

主要功能

1.實時查看活動應用程序

2.每個應用程序的帶寬使用情況

3.快速過濾功能

有效使用：

1.監(jiān)控意外應用流量

2.當報告特定應用程序出現(xiàn)問題時，使用儀表板快速過濾并關注該應用程序的流量

TCP分析儀表板

IOTA中的TCP分析儀表板可與Wireshark的對話對話框相媲美，但可提供實時見解。

如何使用

1.識別熱門通話者和最繁忙的對話

2.點擊特定流量，深入查看詳細的數(shù)據(jù)包數(shù)據(jù)

3.使用過濾選項關注特定 IP 地址、端口或協(xié)議

TCP 分析儀表板可實時快速識別異常流量模式或潛在瓶頸。

三、結論

掌握數(shù)據(jù)包分析中的識別階段包括有效使用 Wireshark 的對話框、端點對話框和協(xié)議層次結構等工具，以及 IOTA 的應用程序和流量儀表板。利用這些工具，分析人員可以快速定位相關數(shù)據(jù)、識別異常模式，并將調查重點放在最相關的信息上。
本文是系列文章的第二部分，后續(xù)文章將深入探討OIDA的“剖析”和“分析”階段。

下面是OIDA識別核對表，通過遵循此核對表并有效使用所討論的工具，分析師可以確保在識別階段采用全面的方法，為數(shù)據(jù)包分析的后續(xù)階段奠定堅實的基礎。

附：OIDA 識別核對表

為確保在識別階段采取徹底的方法，請考慮以下核對表：

1. 您是否使用了 Wireshark 的協(xié)議層次結構來概述捕獲中的協(xié)議？

2. 是否使用 Wireshark 的 “對話 ”對話框或 IOTA 的 “TCP 分析 ”儀表板確定了主要對話？

3. 您是否在 Wireshark 中應用了適當?shù)娘@示過濾器來關注相關流量？

4. 如果使用 IOTA，您是否使用了應用程序儀表板來識別和過濾特定應用程序流量？

5. 您是否使用 Wireshark 的端點對話框或 IOTA 的 TCP 分析儀表板交叉引用了感興趣的端點？

6. 您是否發(fā)現(xiàn)了任何需要進一步調查的意外協(xié)議或應用程序？

7. 您是否使用了過濾技術來隔離特定對話或數(shù)據(jù)流以進行更深入的分析？

8. 是否檢查了流量模式中的任何異?；蛞馔獾母吡髁繒挘?/p>

9. 如果正在調查報告的問題，您是否成功隔離了與受影響應用程序或服務相關的流量？

10. 您是否已準備好根據(jù)初步發(fā)現(xiàn)中出現(xiàn)的新信息對識別流程進行迭代？

了解 ITT-IOTA 更多信息，歡迎前往【艾體寶】官方網(wǎng)站：https://www.itbigtec.com/iota

聯(lián)系艾體寶工程師：TEL：13533491614