您是否在數(shù)據(jù)包分析中遇到了挑戰(zhàn)？專業(yè)人員經(jīng)常發(fā)現(xiàn)自己對錯綜復雜的數(shù)據(jù)包分析束手無策。OIDA方法（觀察、識別、剖析、分析）可用于更好地應對這一挑戰(zhàn)。這種方法旨在簡化數(shù)據(jù)包分析流程，使新手更容易掌握，同時提高經(jīng)驗豐富的分析人員的效率。

OIDA方法系列文章主要包含四個部分，分別是觀察、識別、剖析和分析。本文是該系列的第一部分。

一、什么是 OIDA？

OIDA代表一個四步流程，旨在指導分析人員完成數(shù)據(jù)包分析之旅：

觀察： 在正確的時間和地點捕獲正確的數(shù)據(jù)。

識別： 精確定位捕獲數(shù)據(jù)中的相關信息。

剖析：分解已識別的數(shù)據(jù)進行詳細檢查。

分析： 從分解的信息中得出有意義的結論。

雖然每個步驟都至關重要，但本文重點關注基礎性的第一步：觀察。該步驟為后續(xù)所有分析奠定了基礎，并能顯著影響結果的質量。

二、學會觀察

數(shù)據(jù)包分析中的觀察不僅僅是捕獲或接收數(shù)據(jù)，而是一個需要精心規(guī)劃和執(zhí)行的戰(zhàn)略過程。

1、確定目標

在開始數(shù)據(jù)包捕獲之前，必須明確定義目標。無論是排除特定應用程序的故障、調查安全事件還是了解整體網(wǎng)絡性能，目標都會指導從捕獲位置到持續(xù)時間的整個觀察策略。

2、選擇最佳捕獲點

網(wǎng)絡流量流經(jīng)許多點，選擇正確的捕獲點至關重要。要分析兩臺服務器之間的流量，理想的捕獲點是所有相關流量都能看到，而不會被無關數(shù)據(jù)淹沒。了解網(wǎng)絡拓撲結構是做出這一決定的關鍵。如果接收現(xiàn)有流量，還應確保能看到所有相關流量。因此，還應該詢問網(wǎng)絡圖。

3、把握捕獲時機

有些網(wǎng)絡問題具有間歇性或時間敏感性。在正確的時間進行觀察，是捕捉到問題還是完全錯過問題的關鍵。這可能需要在高峰時段安排捕獲，或設置觸發(fā)器，在滿足特定條件時開始捕獲。此外，有些問題可能需要長期監(jiān)控才能獲得足夠的信息來發(fā)現(xiàn)。性能分析也是如此，在性能分析中，長期捕獲往往有利于獲取更多的歷史數(shù)據(jù)。

4、選擇正確的工具

雖然 Wireshark是一款功能強大且廣受歡迎的數(shù)據(jù)包分析工具，但它并不總是適用于所有情況。Profitap的 IOTA等設備可提供流量捕獲、板載分析和實時洞察，這在某些情況下是非常寶貴的。IOTA 能夠提供網(wǎng)絡流量的即時可見性，是正確工具如何加強 OIDA觀察階段的例證。以下將探討這一關鍵步驟的核心要素。

5、確保符合法律和道德規(guī)范

在開始數(shù)據(jù)包捕獲之前，必須確保必要的權限到位，并遵守所有相關法律和公司政策。在許多司法管轄區(qū)，未經(jīng)同意捕獲某些類型的數(shù)據(jù)可能是非法的。在觀察過程中，應始終優(yōu)先考慮道德因素。

6、獲取足夠的數(shù)據(jù)

捕獲足夠的數(shù)據(jù)是進行深入分析的關鍵，盡管避免過多的數(shù)據(jù)捕獲同樣重要。這通常需要平衡捕獲持續(xù)時間、緩沖區(qū)大小和數(shù)據(jù)管理技術。延長捕獲時間或增加緩沖區(qū)大小可以提供更全面的數(shù)據(jù)，但可能導致文件過大或系統(tǒng)無法跟上，從而導致數(shù)據(jù)丟失。

為應對這一挑戰(zhàn)，可以實施循環(huán)捕獲緩沖區(qū)。這種技術涉及創(chuàng)建多個固定大小或持續(xù)時間的捕獲文件，當前文件達到限制時，自動開始新的文件。

持續(xù)捕獲數(shù)據(jù)而不會創(chuàng)建難以管理的大文件。

即使需要丟棄舊數(shù)據(jù)，也能保留最新數(shù)據(jù)。

通過處理更小、更易管理的文件大小，簡化捕獲后的分析。

降低因系統(tǒng)資源限制導致的數(shù)據(jù)丟失風險。

關鍵在于找到全面數(shù)據(jù)收集與高效數(shù)據(jù)管理之間的平衡，并根據(jù)具體的分析任務量身定制方法。

7、記錄過程

在觀察和捕獲過程中進行記錄至關重要。記錄時間、地點、捕獲持續(xù)時間以及任何相關的網(wǎng)絡條件，為 OIDA方法的后續(xù)步驟，特別是在分析階段，提供了寶貴的信息。

三、結論

掌握觀察的藝術為成功的數(shù)據(jù)包分析奠定基礎。分析的質量取決于捕獲的數(shù)據(jù)質量。精心規(guī)劃和執(zhí)行觀察策略可以使 OIDA的后續(xù)步驟——識別、剖析和分析——更加簡單和有效。

顯然，這個過程是迭代的。初次嘗試可能無法清晰顯示問題，需要重新捕獲。然而，這個過程旨在解決所有痛點，確保第一步就能捕獲相關信息。

本文是系列文章的第一部分，后續(xù)文章將深入探討 OIDA的“識別”、“剖析”和“分析”階段。

四、OIDA觀察清單

你是否明確定義了要調查的問題或場景？

你是否確定了在網(wǎng)絡中捕獲相關流量的最佳位置？

你是否選擇了適合需求的數(shù)據(jù)包捕獲工具（如 Wireshark、tcpdump、Profitap IOTA）？

你是否確定了捕獲相關流量的最佳時間窗口？

你是否擁有在該網(wǎng)絡上捕獲流量的必要權限？

你是否配置了捕獲過濾器以關注相關流量（如適用）？

你的捕獲緩沖區(qū)大小是否適當？

你是否確保有足夠的存儲空間存儲預期的捕獲文件大小？

你的捕獲設備的時鐘是否同步，以確保準確的時間戳？

你是否準備好記錄捕獲的詳細信息（時間、地點、持續(xù)時間、網(wǎng)絡條件）？

審核編輯 黃宇