您是否在數(shù)據(jù)包分析中遇到了挑戰(zhàn)？專業(yè)人員經(jīng)常發(fā)現(xiàn)自己對(duì)錯(cuò)綜復(fù)雜的數(shù)據(jù)包分析束手無策。OIDA方法（觀察、識(shí)別、剖析、分析）可用于更好地應(yīng)對(duì)這一挑戰(zhàn)。這種方法旨在簡(jiǎn)化數(shù)據(jù)包分析流程，使新手更容易掌握，同時(shí)提高經(jīng)驗(yàn)豐富的分析人員的效率。

OIDA方法系列文章主要包含四個(gè)部分，分別是觀察、識(shí)別、剖析和分析。本文是該系列的第一部分。

一、什么是 OIDA？

OIDA代表一個(gè)四步流程，旨在指導(dǎo)分析人員完成數(shù)據(jù)包分析之旅：

觀察： 在正確的時(shí)間和地點(diǎn)捕獲正確的數(shù)據(jù)。

識(shí)別： 精確定位捕獲數(shù)據(jù)中的相關(guān)信息。

剖析：分解已識(shí)別的數(shù)據(jù)進(jìn)行詳細(xì)檢查。

分析： 從分解的信息中得出有意義的結(jié)論。

雖然每個(gè)步驟都至關(guān)重要，但本文重點(diǎn)關(guān)注基礎(chǔ)性的第一步：觀察。該步驟為后續(xù)所有分析奠定了基礎(chǔ)，并能顯著影響結(jié)果的質(zhì)量。

二、學(xué)會(huì)觀察

數(shù)據(jù)包分析中的觀察不僅僅是捕獲或接收數(shù)據(jù)，而是一個(gè)需要精心規(guī)劃和執(zhí)行的戰(zhàn)略過程。

1、確定目標(biāo)

在開始數(shù)據(jù)包捕獲之前，必須明確定義目標(biāo)。無論是排除特定應(yīng)用程序的故障、調(diào)查安全事件還是了解整體網(wǎng)絡(luò)性能，目標(biāo)都會(huì)指導(dǎo)從捕獲位置到持續(xù)時(shí)間的整個(gè)觀察策略。

2、選擇最佳捕獲點(diǎn)

網(wǎng)絡(luò)流量流經(jīng)許多點(diǎn)，選擇正確的捕獲點(diǎn)至關(guān)重要。要分析兩臺(tái)服務(wù)器之間的流量，理想的捕獲點(diǎn)是所有相關(guān)流量都能看到，而不會(huì)被無關(guān)數(shù)據(jù)淹沒。了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是做出這一決定的關(guān)鍵。如果接收現(xiàn)有流量，還應(yīng)確保能看到所有相關(guān)流量。因此，還應(yīng)該詢問網(wǎng)絡(luò)圖。

3、把握捕獲時(shí)機(jī)

有些網(wǎng)絡(luò)問題具有間歇性或時(shí)間敏感性。在正確的時(shí)間進(jìn)行觀察，是捕捉到問題還是完全錯(cuò)過問題的關(guān)鍵。這可能需要在高峰時(shí)段安排捕獲，或設(shè)置觸發(fā)器，在滿足特定條件時(shí)開始捕獲。此外，有些問題可能需要長(zhǎng)期監(jiān)控才能獲得足夠的信息來發(fā)現(xiàn)。性能分析也是如此，在性能分析中，長(zhǎng)期捕獲往往有利于獲取更多的歷史數(shù)據(jù)。

4、選擇正確的工具

雖然 Wireshark是一款功能強(qiáng)大且廣受歡迎的數(shù)據(jù)包分析工具，但它并不總是適用于所有情況。Profitap的 IOTA等設(shè)備可提供流量捕獲、板載分析和實(shí)時(shí)洞察，這在某些情況下是非常寶貴的。IOTA 能夠提供網(wǎng)絡(luò)流量的即時(shí)可見性，是正確工具如何加強(qiáng) OIDA觀察階段的例證。以下將探討這一關(guān)鍵步驟的核心要素。

5、確保符合法律和道德規(guī)范

在開始數(shù)據(jù)包捕獲之前，必須確保必要的權(quán)限到位，并遵守所有相關(guān)法律和公司政策。在許多司法管轄區(qū)，未經(jīng)同意捕獲某些類型的數(shù)據(jù)可能是非法的。在觀察過程中，應(yīng)始終優(yōu)先考慮道德因素。

6、獲取足夠的數(shù)據(jù)

捕獲足夠的數(shù)據(jù)是進(jìn)行深入分析的關(guān)鍵，盡管避免過多的數(shù)據(jù)捕獲同樣重要。這通常需要平衡捕獲持續(xù)時(shí)間、緩沖區(qū)大小和數(shù)據(jù)管理技術(shù)。延長(zhǎng)捕獲時(shí)間或增加緩沖區(qū)大小可以提供更全面的數(shù)據(jù)，但可能導(dǎo)致文件過大或系統(tǒng)無法跟上，從而導(dǎo)致數(shù)據(jù)丟失。

為應(yīng)對(duì)這一挑戰(zhàn)，可以實(shí)施循環(huán)捕獲緩沖區(qū)。這種技術(shù)涉及創(chuàng)建多個(gè)固定大小或持續(xù)時(shí)間的捕獲文件，當(dāng)前文件達(dá)到限制時(shí)，自動(dòng)開始新的文件。

持續(xù)捕獲數(shù)據(jù)而不會(huì)創(chuàng)建難以管理的大文件。

即使需要丟棄舊數(shù)據(jù)，也能保留最新數(shù)據(jù)。

通過處理更小、更易管理的文件大小，簡(jiǎn)化捕獲后的分析。

降低因系統(tǒng)資源限制導(dǎo)致的數(shù)據(jù)丟失風(fēng)險(xiǎn)。

關(guān)鍵在于找到全面數(shù)據(jù)收集與高效數(shù)據(jù)管理之間的平衡，并根據(jù)具體的分析任務(wù)量身定制方法。

7、記錄過程

在觀察和捕獲過程中進(jìn)行記錄至關(guān)重要。記錄時(shí)間、地點(diǎn)、捕獲持續(xù)時(shí)間以及任何相關(guān)的網(wǎng)絡(luò)條件，為 OIDA方法的后續(xù)步驟，特別是在分析階段，提供了寶貴的信息。

三、結(jié)論

掌握觀察的藝術(shù)為成功的數(shù)據(jù)包分析奠定基礎(chǔ)。分析的質(zhì)量取決于捕獲的數(shù)據(jù)質(zhì)量。精心規(guī)劃和執(zhí)行觀察策略可以使 OIDA的后續(xù)步驟——識(shí)別、剖析和分析——更加簡(jiǎn)單和有效。

顯然，這個(gè)過程是迭代的。初次嘗試可能無法清晰顯示問題，需要重新捕獲。然而，這個(gè)過程旨在解決所有痛點(diǎn)，確保第一步就能捕獲相關(guān)信息。

本文是系列文章的第一部分，后續(xù)文章將深入探討 OIDA的“識(shí)別”、“剖析”和“分析”階段。

四、OIDA觀察清單

你是否明確定義了要調(diào)查的問題或場(chǎng)景？

你是否確定了在網(wǎng)絡(luò)中捕獲相關(guān)流量的最佳位置？

你是否選擇了適合需求的數(shù)據(jù)包捕獲工具（如 Wireshark、tcpdump、Profitap IOTA）？

你是否確定了捕獲相關(guān)流量的最佳時(shí)間窗口？

你是否擁有在該網(wǎng)絡(luò)上捕獲流量的必要權(quán)限？

你是否配置了捕獲過濾器以關(guān)注相關(guān)流量（如適用）？

你的捕獲緩沖區(qū)大小是否適當(dāng)？

你是否確保有足夠的存儲(chǔ)空間存儲(chǔ)預(yù)期的捕獲文件大?。?/p>

你的捕獲設(shè)備的時(shí)鐘是否同步，以確保準(zhǔn)確的時(shí)間戳？

你是否準(zhǔn)備好記錄捕獲的詳細(xì)信息（時(shí)間、地點(diǎn)、持續(xù)時(shí)間、網(wǎng)絡(luò)條件）？

審核編輯 黃宇