在 OIDA方法（觀察、識別、剖析、分析）中，識別階段對于在捕獲的網(wǎng)絡(luò)流量中精確定位相關(guān)數(shù)據(jù)至關(guān)重要。本文重點介紹如何在這一關(guān)鍵步驟中有效使用 Wireshark和 Profitap的 IOTA。

OIDA方法系列文章主要包含四個部分，分別是觀察、識別、剖析和分析。本文是該系列的第二部分——學會識別。

一、Wireshark：深入研究相關(guān)對話

Wireshark提供了幾種功能強大的工具，用于識別重要的流量模式和對話。

（一）對話框（Conversations dialog）

對話框是識別網(wǎng)絡(luò)端點之間通信模式的重要工具。

訪問對話框： 統(tǒng)計 >對話（Statistics > Conversations）

查看按各種標準（字節(jié)、數(shù)據(jù)包、持續(xù)時間）排序的對話

右鍵單擊會話，將其用作顯示過濾器

（二）將對話框與顯示過濾器結(jié)合使用

將對話框與顯示過濾器結(jié)合使用，可以實現(xiàn)精確的流量隔離：

應(yīng)用初始顯示過濾器（如 http）

打開對話框查看特定于 HTTP的對話

右鍵單擊感興趣的對話并選擇應(yīng)用為過濾器

現(xiàn)在，顯示過濾器將只顯示該特定 HTTP會話的流量

通過這種方法可以逐步完善視圖，有助于將相關(guān)流量歸零。

（三）端點對話框

端點對話框匯總了捕獲中的所有端點：

通過統(tǒng)計 >端點訪問( Statistics > Endpoints)

識別主要通話者或可疑端點

與對話框結(jié)合使用，跟蹤端點通信

（四）協(xié)議層次結(jié)構(gòu)

Protocol Hierarchy（協(xié)議層次結(jié)構(gòu)）窗口提供捕獲中存在的協(xié)議細目：

通過 “統(tǒng)計”>“協(xié)議層次結(jié)構(gòu) ”(Statistics > Protocol Hierarchy)訪問

快速識別主要協(xié)議

發(fā)現(xiàn)可能顯示問題的異常或意外協(xié)議

（五）使用協(xié)議層次結(jié)構(gòu)

確認預(yù)期的應(yīng)用程序行為

識別潛在的安全問題（如意外協(xié)議）

指導進一步過濾和分析

二、IOTA：實時識別和過濾

Profitap的IOTA提供實時儀表盤，可快速突出顯示網(wǎng)絡(luò)流量中值得關(guān)注的區(qū)域。在儀表盤之間切換和過濾數(shù)據(jù)的功能可讓您快速從鳥瞰視圖轉(zhuǎn)向數(shù)據(jù)包級細節(jié)。

（一）應(yīng)用程序概覽儀表板

應(yīng)用程序總覽儀表板可提供網(wǎng)絡(luò)上應(yīng)用程序使用情況的即時概覽。

主要功能：

實時查看活動應(yīng)用程序

每個應(yīng)用程序的帶寬使用情況

快速過濾功能

有效使用：

監(jiān)控意外應(yīng)用流量

當報告特定應(yīng)用程序出現(xiàn)問題時，使用儀表板快速過濾并關(guān)注該應(yīng)用程序的流量

（二）TCP分析儀表板

IOTA中的TCP分析儀表板可與Wireshark的對話對話框相媲美，但可提供實時見解。

如何使用：

識別熱門通話者和最繁忙的對話

點擊特定流量，深入查看詳細的數(shù)據(jù)包數(shù)據(jù)

使用過濾選項關(guān)注特定 IP地址、端口或協(xié)議

TCP分析儀表板可實時快速識別異常流量模式或潛在瓶頸。

三、結(jié)論

掌握數(shù)據(jù)包分析中的識別階段包括有效使用 Wireshark的對話框、端點對話框和協(xié)議層次結(jié)構(gòu)等工具，以及 IOTA的應(yīng)用程序和流量儀表板。利用這些工具，分析人員可以快速定位相關(guān)數(shù)據(jù)、識別異常模式，并將調(diào)查重點放在最相關(guān)的信息上。

本文是系列文章的第二部分，后續(xù)文章將深入探討OIDA的“剖析”和“分析”階段。

下面是OIDA識別核對表，通過遵循此核對表并有效使用所討論的工具，分析師可以確保在識別階段采用全面的方法，為數(shù)據(jù)包分析的后續(xù)階段奠定堅實的基礎(chǔ)。

附：OIDA識別核對表

為確保在識別階段采取徹底的方法，請考慮以下核對表：

您是否使用了 Wireshark的協(xié)議層次結(jié)構(gòu)來概述捕獲中的協(xié)議？

是否使用 Wireshark的 “對話 ”對話框或 IOTA的 “TCP分析 ”儀表板確定了主要對話？

您是否在 Wireshark中應(yīng)用了適當?shù)娘@示過濾器來關(guān)注相關(guān)流量？

如果使用 IOTA，您是否使用了應(yīng)用程序儀表板來識別和過濾特定應(yīng)用程序流量？

您是否使用 Wireshark的端點對話框或 IOTA的 TCP分析儀表板交叉引用了感興趣的端點？

您是否發(fā)現(xiàn)了任何需要進一步調(diào)查的意外協(xié)議或應(yīng)用程序？

您是否使用了過濾技術(shù)來隔離特定對話或數(shù)據(jù)流以進行更深入的分析？

是否檢查了流量模式中的任何異?；蛞馔獾母吡髁繒?？

如果正在調(diào)查報告的問題，您是否成功隔離了與受影響應(yīng)用程序或服務(wù)相關(guān)的流量？

您是否已準備好根據(jù)初步發(fā)現(xiàn)中出現(xiàn)的新信息對識別流程進行迭代？

歡迎前往艾體寶itbigtec了解更多Profitap-IOTA！

審核編輯 黃宇