应对各类业务分析场景之DPI数据包视图快速过滤

神券还不膨胀 · 发表于 2024-9-10 17:01:00

上一篇《海量数据中高效找到所需之熟用DPI过滤器》中对我们CSNAS的两种不同的过滤器进行了对比。本篇文章，我们会介绍两种方法并通过实例让大家快速运用科来DPI。

CSNAS中快速运用科来DPI的方法

CSNAS中有数据包视图、端点视图、会话视图、日志视图等，如下图所示：

在不同的视图中，科来DPI的应用技巧略有不同。本文会用数据包视图中的科来DPI作演示讲解（后面会有文章详细介绍科来DPI的语法，掌握语法后可进行复杂场景过滤）。

打开CSNAS，进入“数据包视图”，科来DPI位于视图正上方。如下图红框范围所示：

在空白搜索框中可以输入过滤条件，点击右侧的“放大镜”图标（或直接敲回车键），代表应用输入的过滤条件。应用过滤条件后，数据包视图中只显示满足过滤条件的数据包，不满足条件的数据包被暂时隐藏。若要恢复显示所有数据包，可在搜索框中删掉过滤条件，再点击“放大镜”图标（或敲回车键）即可。

如果对过滤语法不熟悉，可点击搜索框后面的“问号”图标。点击后会弹出过滤表达式帮助会话框。在会话框中可检索想要添加的过滤条件，并按照关系取值提示，一步步添加过滤条件。

在检索结果中选中过滤条件后，会提示所选条件能进行如何赋值，及为它赋值的类型，如下图所示：

在搜索框内输入“ip”；
下面字段名区域会出现和ip相关的可作为过滤条件的字段，如目的IP、IP、源IP；
选中“目的IP”作为过滤条件后，在右侧关系中提示，可以通过“=”、“！=”等进行赋值；
关系符号后的赋值，应为IPv4地址。

选择好过滤条件后，点击确定，返回到数据包视图，如下：

此时，还需要键入具体的“IPv4”值，如下：

我们注意到，当过滤条件不成立时，搜索框背景色为红，当过滤条件成立时，背景色转变为绿色：

只有在搜索框背景变为绿色的情况下，才能完成过滤。

第一种方法应用举例：

请过滤出源IP为内网主机192.168.16.36访问目的IP为112.19.0.127和117.185.25.42的HTTP的数据包。

分析：

（1）根据题设，可分解出2个过滤条件：

过滤条件1：端口为80，源IP为192.168.16.36，目的IP为112.19.0.127；

过滤条件2：端口为80，源IP为192.168.16.36，目的IP为117.185.25.42。

在不知道DPI语法规则的情况下，可以通过前面介绍的方法，点“问号”，通过检索“端口”、“源IP”、“目的IP”，添加过滤条件，然后进行赋值的方式。一步步书写出过滤条件语句（每一个条件通过“&&”或“and”连接），如下：

过滤条件1：port=80 && srcip=192.168.16.36 && dstip=112.19.0.127

过滤条件2：port=80 && srcip=192.168.16.36 && dstip=117.185.25.42

再把这两个条件通过“||”（即表示或者，满足其中之一）连接起来就行。

完整过滤语句为：(port=80 && srcip=192.168.16.36 && dstip=112.19.0.127) || (port=80 && srcip=192.168.16.36 && dstip=117.185.25.42)

过滤效果如下：

（2）我们观察上面的过滤语句，发现2个过滤条件前面port=80 && srcip=192.168.16.36是相同的，因此我们可以将过滤语句简写成这样：

port=80 && srcip=192.168.16.36 && (dstip=112.19.0.127 || dstip=117.185.25.42)

过滤效果如下：

当我们熟悉掌握了DPI语法，便可以快速高效写出上面的过滤语句。

看到这里，很多分析师会说，同样是从一个会话框中去点击选取过滤条件，那和“图形化”过滤器也没有什么区别吧？万丈高楼平地起，这只是为刚使用科来DPI的工程师作的第一步介绍。

另一种科来DPI使用方法是在数据包视图中，把鼠标放在视图最下方如下图所示位置延箭头方向往上拉动，可以看到一个数据包的详细解码界面：

数据包详细解码视图如下：

现在一个数据包的2—7层的所有解码字段和数据都呈现在数据包视图当中，我们想添加数据包里面的任何一个字段作为过滤条件，只需如下图中的顺序进行操作：

随机选中一个数据包（和想过滤得到的数据包具有相同的网络层、传输层或应用层协议）；
在解码视图中，选中想要作为过滤条件的字段；
点击鼠标右键，选则“生成显示过滤器”（后面另有文章介绍：显示过滤器、分析过滤器和存储过滤器），点“选中”；
在科来DPI的搜索框里会实时生成相应的过滤条件。

按上面步骤操作后，科来DPI中生成过滤条件如下所示：

要应用过滤器，可点击“放大镜”图标（或点击回车键）即可。

第二种方法应用举例：

请过滤出网络中所有的RST包。

分析：RST包是TCP中FLAG字段RST位置1的数据包，因此，我们只需要随便找到一个TCP数据包，在解码视图中找到字段RST的位置，然后应用为显示过滤条件即可。生成过滤条件以后，确定将RST对应的值改为1即可。

具体操作如下：

（1）随机找一个TCP包，在解码视图中找到RST字段，右键菜单中点选生成显示过滤器：

（2）把生成的过滤语句值改为“1”，点回车应用过滤，效果如下：

这样，就过滤出了所有的RST包。等熟悉了DPI的语法后，直接输入“tcp.rst=1”这条过滤语句，即能完成过滤。

科来DPI的特点和优势

科来DPI的特点：

科来DPI的特点决定了它可以轻松应对超大流量、海量数据的过滤场景，并且不会因为过滤条件本身的复杂性而影响过滤速度和结果。

科来DPI的优势：

和传统的图形化过滤器相比，科来DPI可以完美应对各种不同的分析场景，满足分析师的各种数据过滤条件。

结语

本文介绍了科来DPI在数据包视图中的两种使用方法，掌握这两种方法可以让我们快速运用科来DPI。下一篇文章我们将详细介绍科来DPI的语法，让网络分析工程师能够在过滤器搜索框中直接键入过滤条件，通过多个过滤条件组合进行数据包过滤，满足各种不同复杂过滤场景，敬请期待！

免费易用的流量分析工具下载

扫码关注公众号

更多网络分析技术、技巧、干货分享

- End -

应对各类业务分析场景之DPI数据包视图快速过滤

本帖子中包含更多资源

浏览过的版块