Работа с сервисом psg.mitigator.ru
В правом верхнем углу находится иконка вызова данной справки. В зависимости от того, в каком разделе находится пользователь, открывается соответствующий раздел документации.
Загрузка файлов
В первую очередь следует загрузить в сервис файл с данными, для чего требуется нажать на иконку с символом + в верхней части страницы и выбрать пункт Upload file.
В появившемся окне указать путь к локально расположенному файлу. Это может быть дамп трафика в форматах PCAP или PCAPNG, а также текстовый файл, содержащий IP-адреса, префиксы, JA3 hash, JA3 fulltext, User-Agent.
При необходимости можно указать комментарий к файлу.
Также можно загрузить файл прямо на странице анализа при помощи иконки с символом + рядом с полем выбора файла.
Предусмотрен ручной ввод значений: IP-адресов, префиксов, JA3 hash, JA3 fulltext, User-Agent. В этом случае из введенных значений будет сформирован текстовый файл.
Загруженные файлы отображаются в общем списке на странице Uploads. Предусмотрена фильтрация по всем полям, а также сортировка по дате добавления. На странице есть пагинация. Количество отображаемых на странице файлов настраивается.
Анализ
После того как файл загружен, его можно выбрать для анализа одним из следующих механизмов:
- Payload Analyzer
- Multipurpose Analyzer
- TLS Analyzer
- IP Analyzer
- ACL Rules Generator
- Service Analyzer
- Log analyzer
По клику на поля для выбора файлов отображается список всех доступных файлов. Работает фильтрация по имени. Отображаются дата и время загрузки каждого файла на сервис.
Новый анализ создается либо нажатием на иконку с символом + в верхней части страницы, пункт Run analysis, либо нажатием на иконку с пробиркой в строке ранее загруженного файла.
После настройки фильтров и выбора режима нужно поставить обработку файла в очередь, нажав кнопку Analyze. Если заданы фильтры, то будут обрабатываться только пакеты, соответствующие фильтрам. Это нужно, если дамп «загрязнен» трафиком других приложений, или необходимо проанализировать конкретный поток.
Фильтрация
Доступна фильтрация по:
- протоколу (tcp, udp, icmp);
- IP-адресу источника (src IP);
- порту источника (src port);
- IP-адресу назначения (dst IP);
- порту назначения (dst port);
- BPF(1). Произвольный фильтр, синтаксис tcpdump.
Отчеты
На странице Reports отображаются готовые отчеты и отчеты, анализ по которым выполняется в текущий момент. При запуске анализа в таблице появится новая строка. Когда анализ закончится, прозвучит звуковой сигнал, изменится фавикон. Подробный отчет с результатами анализа открывается нажатием на ID.
Тегами помечаются название анализируемого файла, его хеш, а также параметры, с которыми анализ был запущен. Подробное описание отчётов в статьях о механизмах анализа. На странице есть пагинация. Количество отображаемых на странице отчетов настраивается.
(1) В «Multipurpose Analyser» если задан произвольный BPF-фильтр, то другие фильтры не применяются.