Предыдущий эпизод
В предыдущем эпизоде серии инструкций мы рассмотрели первые шаги по созданию системы безопасности, способной противостоять DDoS—атакам, и подготовили нашу систему к такому состоянию. Вкратце, мы установили программное обеспечение для прослушивания и мониторинга на наш прокси—сервер, которое собирает для нас данные и помещает их в специальную папку в файле формата «.pcap». Теперь мы используем этот трафик для анализа и фильтрации в режиме, который может помочь криминалистам и пентестерам в их работе. Давайте начнем!
Wireshark
В wireshark у нас есть параметры фильтрации, которые могут быть очень полезны для создания нормального профиля трафика. Порт, протокол, IP—адрес и фильтр выражений изолируют трафик и могут создать список необходимой информации. Мы можем импортировать эти данные в Excel или любое другое удобное программное обеспечение для работы с трафиком.
Анализ траффика
Рассмотрим главное окно программы мониторинга:
Если вы пропустили предыдущий эпизод, вам нужно собрать определенное количество трафика в нашей программе, это также возможно. Нажмите на кнопку, напоминающую гребень акулы:
После сбора данных вам нужно прекратить мониторинг и нажать на кнопку остановить, как на фотографии ниже:
Или, если у вас есть файл pcap, откройте его из меню этой программы в строке выше:
Появится окно о сохранении — сохранять или нет на ваш выбор:
Все инструменты для анализа и сбора статистики о вашем трафике в сети также расположены в строке выше, с названиями «Анализировать» и «Статистика». Они представляют собой ряд разнообразных методов и инструментов для того, чтобы подчеркнуть смысл информации:
Сначала мы собираем список исходного и конечного трафика IP—адреса, который будет помечен как легитимный. Выберите вкладку Статистика, найдите точку IPv4 и нажмите на первую строку:
Все адреса будут отображаться в списке с различными параметрами: частотный адрес в общем наборе, скорость и процент от общего трафика. Нажав на меню на вкладке ниже, мы можем увидеть пункты назначения и порты:
Сохраните эту информацию, нажав на кнопку Сохранить как. Далее мы рассматриваем всю извлеченную информацию и составляем список важных данных. IP—протоколы, которые мы можем увидеть ниже:
В этой программе перехвата мы можем использовать диаграмму для примитивной визуализации частотных пакетов. Нажмите на статистику на вкладке выше, затем выберите графики и посмотрите результат:
Вывод
После того, как мы произвели измерения всех точек и цифровых отпечатков, обобщим полученные данные и сделаем вывод о профиле нашего трафика, но вы можете заметить, что профиль не был визуализирован в следующем эпизоде серии инструкций, которые мы рассмотрим «Как использовать профиль трафика для защиты от DDoS?» и «Как визуализировать траекторию профиля трафика?» для составления более тщательного и глубокого портрета легитимизированного пользователя. Все это и многое другое мы сможем увидеть в следующих инструкциях. Оставайтесь с нами! Для составления более тщательного и глубокого портрета легитимизированного пользователя. Все это и многое другое мы сможем увидеть в следующих инструкциях. Оставайтесь с нами!
