艾体宝干货丨OIDA之二:掌握数据包分析-学会识别

news2024/11/25 4:36:59

在 OIDA 方法(观察、识别、剖析、分析)中,识别阶段对于在捕获的网络流量中精确定位相关数据至关重要。本文重点介绍如何在这一关键步骤中有效使用 Wireshark 和 Profitap 的 IOTA。

OIDA方法系列文章主要包含四个部分,分别是观察、识别、剖析和分析。本文是该系列的第二部分——学会识别。

一、Wireshark:深入研究相关对话

Wireshark 提供了几种功能强大的工具,用于识别重要的流量模式和对话。

(一)对话框(Conversations dialog)

对话框是识别网络端点之间通信模式的重要工具。

  1. 访问对话框: 统计 > 对话(Statistics > Conversations)
  2. 查看按各种标准(字节、数据包、持续时间)排序的对话
  3. 右键单击会话,将其用作显示过滤器

(二)将对话框与显示过滤器结合使用

将对话框与显示过滤器结合使用,可以实现精确的流量隔离:

  1. 应用初始显示过滤器(如 http)
  2. 打开对话框查看特定于 HTTP 的对话
  3. 右键单击感兴趣的对话并选择 "应用为过滤器
  4. 现在,显示过滤器将只显示该特定 HTTP 会话的流量

通过这种方法可以逐步完善视图,有助于将相关流量归零。

(三)端点对话框

端点对话框汇总了捕获中的所有端点:

  1. 通过统计 > 端点访问( Statistics > Endpoints)
  2. 识别主要通话者或可疑端点
  3. 与对话框结合使用,跟踪端点通信

(四)协议层次结构

Protocol Hierarchy(协议层次结构)窗口提供捕获中存在的协议细目:

  1. 通过 “统计”>“协议层次结构 ”(Statistics > Protocol Hierarchy)访问
  2. 快速识别主要协议
  3. 发现可能显示问题的异常或意外协议

(五)使用协议层次结构

  1. 确认预期的应用程序行为
  2. 识别潜在的安全问题(如意外协议)
  3. 指导进一步过滤和分析

二、IOTA:实时识别和过滤

Profitap的IOTA提供实时仪表盘,可快速突出显示网络流量中值得关注的区域。在仪表盘之间切换和过滤数据的功能可让您快速从鸟瞰视图转向数据包级细节。

(一)应用程序概览仪表板

应用程序总览仪表板可提供网络上应用程序使用情况的即时概览。

主要功能:

  1. 实时查看活动应用程序
  2. 每个应用程序的带宽使用情况
  3. 快速过滤功能

有效使用:

  1. 监控意外应用流量
  2. 当报告特定应用程序出现问题时,使用仪表板快速过滤并关注该应用程序的流量

(二)TCP分析仪表板

IOTA中的TCP分析仪表板可与Wireshark的对话对话框相媲美,但可提供实时见解。

如何使用:

  1. 识别热门通话者和最繁忙的对话
  2. 点击特定流量,深入查看详细的数据包数据
  3. 使用过滤选项关注特定 IP 地址、端口或协议

TCP 分析仪表板可实时快速识别异常流量模式或潜在瓶颈。

三、结论

掌握数据包分析中的识别阶段包括有效使用 Wireshark 的对话框、端点对话框和协议层次结构等工具,以及 IOTA 的应用程序和流量仪表板。利用这些工具,分析人员可以快速定位相关数据、识别异常模式,并将调查重点放在最相关的信息上。

本文是系列文章的第二部分,后续文章将深入探讨OIDA的“剖析”和“分析”阶段。

下面是OIDA识别核对表,通过遵循此核对表并有效使用所讨论的工具,分析师可以确保在识别阶段采用全面的方法,为数据包分析的后续阶段奠定坚实的基础。

附:OIDA 识别核对表

为确保在识别阶段采取彻底的方法,请考虑以下核对表:

  1.  您是否使用了 Wireshark 的协议层次结构来概述捕获中的协议?
  2.  是否使用 Wireshark 的 “对话 ”对话框或 IOTA 的 “TCP 分析 ”仪表板确定了主要对话?
  3.  您是否在 Wireshark 中应用了适当的显示过滤器来关注相关流量?
  4.  如果使用 IOTA,您是否使用了应用程序仪表板来识别和过滤特定应用程序流量?
  5.  您是否使用 Wireshark 的端点对话框或 IOTA 的 TCP 分析仪表板交叉引用了感兴趣的端点?
  6.  您是否发现了任何需要进一步调查的意外协议或应用程序?
  7.  您是否使用了过滤技术来隔离特定对话或数据流以进行更深入的分析?
  8.  是否检查了流量模式中的任何异常或意外的高流量会话?
  9.  如果正在调查报告的问题,您是否成功隔离了与受影响应用程序或服务相关的流量?
  10.  您是否已准备好根据初步发现中出现的新信息对识别流程进行迭代?

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2128655.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

鸿蒙OS 应用基础知识

APP HarmonyOS 的应用软件包以 APP Pack(Application Package)形式发布,它是由一个或多个 HAP(HarmonyOS Ability Package)以及描述每个 HAP 属性的 pack.info 组成。HAP 是 [Ability]的部署包,HarmonyOS …

虚拟机安装VMware-tools详细教程

这里以VM16.12版本为例子,所有windows系统在所有虚拟机版本上都是一样的操作,参考即可 第一步打开虚拟机,这里需要注意的是虚拟机设备要有CD/DVD驱动器,这也是很多人说vmtool安装按钮是灰色的原因 第二步:打开虚拟机,…

linux入门到实操-1 Linux概述、诞生过程、发行版本,如何安装?

教程来源:B站视频BV1WY4y1H7d3 3天搞定Linux,1天搞定Shell,清华学神带你通关_哔哩哔哩_bilibili 整理汇总的课程内容笔记和课程资料,供大家学习交流下载:夸克网盘分享 本文内容为完整笔记的入门篇 概述部分历史内容…

git push失败原因上传的文件超过了Gitee的上限100M

! [remote rejected] master -> master (pre-receive hook declined) error: failed to push some refs to 这个错误信息表明你在尝试将更改推送到Gitee的socket_service仓库时遇到了问题。具体来说,问题出在你尝试推送的文件大小超过了Gitee平台设定的限制。Git…

Science Robotics 在小动物模型中实现渐进和可逆主动脉收缩的软机器人平台

前言速览:目前对左心室压力过载引起心脏重构过程的理解主要来源于主动脉束带的动物模型。然而,这些研究未能同时控制疾病的进展和逆转,阻碍了其临床意义。为此,来自哈佛大学、麻省理工学院等的研究人员介绍了一种基于植入式可扩张…

回馈式负载箱的操作和维护

回馈式负载箱是用于测试电源设备(如发电机、逆变器等)性能的设备,它可以模拟真实的负载情况,通过调节负载的大小和类型,来检测电源设备的输出能力和稳定性。回馈式负载箱的操作和维护对于保证其正常工作和延长使用寿命…

19:I2C一:程序模拟I2C通信时序

I2C 1、什么是I2C2、I2C的通信时序2.1:起始信号2.2:停止信号2.3:主机向从机发送一个字节数据2.4:主机向从机读取一个字节数据2.5:主机接收应答2.6:主机发送应答 3、程序模拟I2C的通信时序3.1:指…

为什么企业需要数据目录?

想象一下,如果在没有目录系统的庞大图书馆里寻找一本特定的书,你可能会耗费无数个小时搜索,但最终却一无所获。 同理,企业的数据如果没有一个组织良好、易于搜索的系统,也无法充分发挥其潜力。企业数据目录能够简化这一…

“爱满中华”与“民生之语”——全国人民的幸福之音!

近年来,随着科技的不断进步,数字化手段在各个领域的应用越来越广泛。在此背景下,我国宣传部推出了“爱满中华”全民自助补贴APP,旨在通过数字化手段,更有效地推行全民扶贫补助政策,而“爱满中华”自助补贴平台和“民生之语”利民通讯软件也正式被我国中信办称为国家网络未来工程…

组合总和IV(力扣---动态规划)

文章目录 1.题目描述2.解题思路3.代码实现 1.题目描述 题目描述见:组合总和IV 2.解题思路 视频参考: 组合总和IV 以上述的示例1为例: dp[4]的含义是什么?和为4的组合有多少种 一般动态规划是可以由前面的dp[3]推导而来的 dp[3…

使用Lua碰到的问题、踩坑记录

文章目录 1. 获得整除结果2. 在数组末尾添加元素的两种写法3. 接收可变参数 ...4. 复杂表结构的定义5. 一行代码, 同时定义多个变量6. 数组与集合的遍历方式7. 函数声明和调用的位置关系 1. 获得整除结果 用 “/” 来做除法, 得到的结果中总会带有小数. 可以使用 math.modf() …

windows下使用 vscode 远程X11服务GUI显示的三种方法

总结三种方法: 前言 ssh连接要使用-XY。 -X 表示ForwardX11,-Y 是ForwardX11Trusted,就是允许了X11转发,可以实现图形显示,虽然很多工具会默认使用这些参数,但是一般手动加也不会报错,所以就…

命令行中的引号

程序,或者说如果main函数中的参数带引号,那么带引号的部分会被当作一个单独的参数,并传递给main函数。并且解析后,引号会被去掉,并分别传递给argv中的各个参数。 如图所示,第3个参数中的引号被丢弃。

引领智能家居新风尚,WTN6040F门铃解决方案——让家的呼唤更动听

在追求高效与便捷的智能家居时代,每一个细节都承载着我们对美好生活的向往。WTN6040F,作为一款专为现代家庭设计的低成本、高性能门铃解决方案,正以其独特的魅力,悄然改变着我们的居家生活体验。 芯片功能特点: 1.2.4…

ubuntu使用wireshark抓取数据

工具 aircrack-ng工具;wireshark工具 sudo apt-get install aircrack-ng2 sudo add-apt-repository ppa:wireshark-dev/stable sudo apt update sudo apt install -y wireshark使用 airmon-ng 执行ifconfig查看网卡 设置网卡为监听模式:sudo airmo…

UNION嵌套STRUCT的两种类型

1. STRUCT里面的总长度大于UNION中的最大长度 在UNION类型中,嵌套如STRUCT类型,其中STRUCT的类型还比UNION类型中最大的类型的长度还长的时候,会如何处理呢,看下面示例 程序源码 #include "stdafx.h"typedef unsigned…

研究生考试报名上传手持身份证照片,如何拍清晰并且过审

研究生考试是中国高等教育中的一项重要考试,在每年9月下旬开始。在报名过程中,上传手持身份证照片是一个关键步骤,它直接关系到报名是否能够顺利通过审核。本文将为你提供4个实用的技巧,帮助你拍摄出既清晰又符合要求的手持身份证…

【三刷C语言】各种注意事项

这里是阿川的博客,祝您变得更强 ✨ 个人主页:在线OJ的阿川 💖文章专栏:C语言入门到进阶 🌏代码仓库: 写在开头 现在您看到的是我的结论或想法,但在这背后凝结了大量的思考、经验和讨论 目录 1.…

Linux中yum命令

1.Linux常见软件安装方式 a.yum/apt b.rpm安装包安装 c.源码安装 2.yum常用指令 在root权限下可以安装、卸载程序 安装 yum install [package] 卸载 yum remove [package] 还可以使用yum list列出yum源中所有可安装程序 yum list

【Flink Flick CDC】学习笔记

文章目录 FlinkFlink CDC关于转换算子的解释(Transformation)Flink CDC 与 Debezium 有何关系Savepoint 和 CheckpointingSavepoint 和 Checkpointing 的区别 ![请添加图片描述](https://i-blog.csdnimg.cn/direct/8834c721df794978bde12e4e764ed946.png) Flink Flink是一个无…