Payload Analyzer

Анализирует L4 payload. Нужно указать параметры для построения дерева решений:

  • Decisions — максимальная вложенность ветвления. Определяет глубину поиска в процессе построения дерева решений.

  • Decision type — алгоритм построения дерева решений.

    • First suitable decision — поиск первого подходящего решения;
    • All possible decisions — поиск всех возможных решений в рамках заданной вариативности и максимального уровня вложенности;
    • Decision of minimum length — обход по веткам минимальной длины вне зависимости от полноты решения.

  • Variability — вариативность данных в пределах смещения для создания ветки. Максимальное число дочерних веток дерева решений.

  • Bytes in packet — количество первых байт payload, которые будут анализироваться. Ограничение по количеству первых байт позволяет создать укороченные сигнатуры, например, для применения flex filter в JunOS. Уменьшает время анализа.

  • Generate payload filter expressions — добавляет в отчет фильтры для tcpdump и/или tshark.

  • Show hints — добавляет в отчет вспомогательные секции.

Отчет

Отчет может формироваться как текстовый файл или как интерактивная HTML-страница, если установлен чекбокс Interactive. Содержание отчета не зависит от формы представления, но интерактивная версия имеет ряд преимуществ и удобнее в использовании, поэтому описание отчета строится на ней. Интерактивный отчет может быть экспортирован в HTML страницу или JSON для последующего использования вне PSG. Каждая секция отчета может быть свернута.

Отчет состоит из секций:

  • Total;

    • Total packets — всего пакетов загружено из PCAP-файла;
    • Filtered packets — количество пакетов, исключенных из обработки фильтрами;
    • Processed packets — количество обработанных пакетов;
    • TCP — процент TCP пакетов в дампе;
    • UDP — процент UDP пакетов в дампе;
    • ICMP — процент ICMP пакетов в дампе.

  • Packets lenght stats;
    распределение пакетов по длине L4 payload. Абсолютное значение и процент от всех пакетов, принятых в обработку.

  • [TCP, UDP] [src, dst] ports stats;
    Распределение пакетов по портам. Количество пакетов, процент от всех пакетов, принятых в обработку, и процент от общего числа пакетов. Выводит до 10 наиболее используемых портов среди пакетов, попавших в обработку.

При установленном флаге Show hints в отчет будут добавлены секции:

  • Values and candidates to separate into branches;
    Показывает смещения L4 payload c вариативностью меньше указанной и присутствующее в 100% обработанных пакетов. Если с заданной вариативностью не найдены кандидаты на ветвление, но существует во всех пакетах по какому-то смещению количество значений больше заданной вариативности, то сообщается минимальное значение для нахождения хотя бы одной ветки.

  • Other common values in processed payload;
    Показывает смещения L4 payload, которые содержат малоизменяемые значения (в более 90% пакетов, где доступно такое смещение, по нему один и тот же байт). Отображается абсолютное количество пакетов и процент от общего количества пакетов для каждого смещения. Смещения, содержащие малоизменяемые значения, но с небольшим количеством пакетов (менее 90% от общего), не отображаются.

  • Possible related values in processed payload;
    Выполняет поиск L4 payload значений, которые имеют одинаковое число повторений, скорее всего они изменяются синхронно. Отображается абсолютное количество пакетов и процент от общего количества обработанных пакетов для каждого набора связанных значений. В расчет не берутся значения, которые не меняются и встречаются очень редко (менее 5% от числа обработанных пакетов).

  • Possible floating values in processed payload;
    Выполняет поиск L4 payload значений, которые плавают в небольшом диапазоне смещений и содержится во всех пакетах в рамках этого диапазона. Не учитываются значения, которые не меняются. Если найдено несколько одинаковых значений с пересекающимися диапазонами смещений, они объединяются.

  • Filters;
    Отображает фильтры для tcpdump и tshark, соответствующие полученному в ходе анализа регулярному выражению.

Если с параметрами по умолчанию не выделилась сигнатура, то для клиентов может быть сложно интерпретировать подсказки и корректировать параметры поиска решения. В этом случае следует попробовать Multipurpose Analyser как наиболее комплексный.