|
CSNAS中有数据包视图、端点视图、会话视图、日志视图等,如下图所示:在不同的视图中,科来DPI的应用技巧略有不同。本文会用数据包视图中的科来DPI作演示讲解(后面会有文章详细介绍科来DPI的语法,掌握语法后可进行复杂场景过滤)。打开CSNAS,进入“数据包视图”,科来DPI位于视图正上方。如下图红框范围所示:在空白搜索框中可以输入过滤条件,点击右侧的“放大镜”图标(或直接敲回车键),代表应用输入的过滤条件。应用过滤条件后,数据包视图中只显示满足过滤条件的数据包,不满足条件的数据包被暂时隐藏。若要恢复显示所有数据包,可在搜索框中删掉过滤条件,再点击“放大镜”图标(或敲回车键)即可。如果对过滤语法不熟悉,可点击搜索框后面的“问号”图标。点击后会弹出过滤表达式帮助会话框。在会话框中可检索想要添加的过滤条件,并按照关系取值提示,一步步添加过滤条件。
在检索结果中选中过滤条件后,会提示所选条件能进行如何赋值,及为它赋值的类型,如下图所示:在搜索框内输入“ip”; 下面字段名区域会出现和ip相关的可作为过滤条件的字段,如目的IP、IP、源IP; 选中“目的IP”作为过滤条件后,在右侧关系中提示,可以通过“=”、“!=”等进行赋值; 关系符号后的赋值,应为IPv4地址。
选择好过滤条件后,点击确定,返回到数据包视图,如下:我们注意到,当过滤条件不成立时,搜索框背景色为红,当过滤条件成立时,背景色转变为绿色:
请过滤出源IP为内网主机192.168.16.36访问目的IP为112.19.0.127和117.185.25.42的HTTP的数据包。过滤条件1:端口为80,源IP为192.168.16.36,目的IP为112.19.0.127;过滤条件2:端口为80,源IP为192.168.16.36,目的IP为117.185.25.42。在不知道DPI语法规则的情况下,可以通过前面介绍的方法,点“问号”,通过检索“端口”、“源IP”、“目的IP”,添加过滤条件,然后进行赋值的方式。一步步书写出过滤条件语句(每一个条件通过“&&”或“and”连接),如下:过滤条件1:port=80 && srcip=192.168.16.36
&& dstip=112.19.0.127过滤条件2:port=80 && srcip=192.168.16.36
&& dstip=117.185.25.42再把这两个条件通过“||”(即表示或者,满足其中之一)连接起来就行。完整过滤语句为:(port=80 && srcip=192.168.16.36 &&
dstip=112.19.0.127) || (port=80 && srcip=192.168.16.36 &&
dstip=117.185.25.42)(2)我们观察上面的过滤语句,发现2个过滤条件前面port=80 && srcip=192.168.16.36是相同的,因此我们可以将过滤语句简写成这样:port=80 && srcip=192.168.16.36 &&
(dstip=112.19.0.127 || dstip=117.185.25.42)当我们熟悉掌握了DPI语法,便可以快速高效写出上面的过滤语句。看到这里,很多分析师会说,同样是从一个会话框中去点击选取过滤条件,那和“图形化”过滤器也没有什么区别吧?万丈高楼平地起,这只是为刚使用科来DPI的工程师作的第一步介绍。另一种科来DPI使用方法是在数据包视图中,把鼠标放在视图最下方如下图所示位置延箭头方向往上拉动,可以看到一个数据包的详细解码界面:现在一个数据包的2—7层的所有解码字段和数据都呈现在数据包视图当中,我们想添加数据包里面的任何一个字段作为过滤条件,只需如下图中的顺序进行操作:随机选中一个数据包(和想过滤得到的数据包具有相同的网络层、传输层或应用层协议); 在解码视图中,选中想要作为过滤条件的字段; 点击鼠标右键,选则“生成显示过滤器”(后面另有文章介绍:显示过滤器、分析过滤器和存储过滤器),点“选中”; 在科来DPI的搜索框里会实时生成相应的过滤条件。
按上面步骤操作后,科来DPI中生成过滤条件如下所示:要应用过滤器,可点击“放大镜”图标(或点击回车键)即可。分析:RST包是TCP中FLAG字段RST位置1的数据包,因此,我们只需要随便找到一个TCP数据包,在解码视图中找到字段RST的位置,然后应用为显示过滤条件即可。生成过滤条件以后,确定将RST对应的值改为1即可。(1)随机找一个TCP包,在解码视图中找到RST字段,右键菜单中点选生成显示过滤器:(2)把生成的过滤语句值改为“1”,点回车应用过滤,效果如下:这样,就过滤出了所有的RST包。等熟悉了DPI的语法后,直接输入“tcp.rst=1”这条过滤语句,即能完成过滤。科来DPI的特点决定了它可以轻松应对超大流量、海量数据的过滤场景,并且不会因为过滤条件本身的复杂性而影响过滤速度和结果。和传统的图形化过滤器相比,科来DPI可以完美应对各种不同的分析场景,满足分析师的各种数据过滤条件。本文介绍了科来DPI在数据包视图中的两种使用方法,掌握这两种方法可以让我们快速运用科来DPI。下一篇文章我们将详细介绍科来DPI的语法,让网络分析工程师能够在过滤器搜索框中直接键入过滤条件,通过多个过滤条件组合进行数据包过滤,满足各种不同复杂过滤场景,敬请期待!
|
发表于 2024-9-10 17:01:00
