Работа с сервисом psg.mitigator.ru

В правом верхнем углу находится иконка вызова данной справки. В зависимости от того, в каком разделе находится пользователь, открывается соответствующий раздел документации.

Загрузка файлов

В первую очередь следует загрузить в сервис файл с данными, для чего требуется нажать на иконку с символом + в верхней части страницы и выбрать пункт Upload file.

В появившемся окне указать путь к локально расположенному файлу. Это может быть дамп трафика в форматах PCAP или PCAPNG, а также текстовый файл, содержащий IP-адреса, префиксы, JA3 hash, JA3 fulltext, User-Agent.

При необходимости можно указать комментарий к файлу.

Также можно загрузить файл прямо на странице анализа при помощи иконки с символом + рядом с полем выбора файла.

Предусмотрен ручной ввод значений: IP-адресов, префиксов, JA3 hash, JA3 fulltext, User-Agent. В этом случае из введенных значений будет сформирован текстовый файл.

Загруженные файлы отображаются в общем списке на странице Uploads. Предусмотрена фильтрация по всем полям, а также сортировка по дате добавления. На странице есть пагинация. Количество отображаемых на странице файлов настраивается.

Анализ

После того как файл загружен, его можно выбрать для анализа одним из следующих механизмов:

По клику на поля для выбора файлов отображается список всех доступных файлов. Работает фильтрация по имени. Отображаются дата и время загрузки каждого файла на сервис.

Новый анализ создается либо нажатием на иконку с символом + в верхней части страницы, пункт Run analysis, либо нажатием на иконку с пробиркой в строке ранее загруженного файла.

После настройки фильтров и выбора режима нужно поставить обработку файла в очередь, нажав кнопку Analyze. Если заданы фильтры, то будут обрабатываться только пакеты, соответствующие фильтрам. Это нужно, если дамп «загрязнен» трафиком других приложений, или необходимо проанализировать конкретный поток.

Фильтрация

Доступна фильтрация по:

  • протоколу (tcp, udp, icmp);
  • IP-адресу источника (src IP);
  • порту источника (src port);
  • IP-адресу назначения (dst IP);
  • порту назначения (dst port);
  • BPF(1). Произвольный фильтр, синтаксис tcpdump.

Отчеты

На странице Reports отображаются готовые отчеты и отчеты, анализ по которым выполняется в текущий момент. При запуске анализа в таблице появится новая строка. Когда анализ закончится, прозвучит звуковой сигнал, изменится фавикон. Подробный отчет с результатами анализа открывается нажатием на ID.

Тегами помечаются название анализируемого файла, его хеш, а также параметры, с которыми анализ был запущен. Подробное описание отчётов в статьях о механизмах анализа. На странице есть пагинация. Количество отображаемых на странице отчетов настраивается.


(1) В «Multipurpose Analyser» если задан произвольный BPF-фильтр, то другие фильтры не применяются.