Multipurpose Analyzer

Multipurpose Analyzer анализирует L3/L4 заголовки и L4 payload. На вход принимаются дампы трафика в форматах PCAP или PCAPNG.

Возможности Multipurpose Analyzer:

  1. Различными способами формировать шаблоны для L4 payload.
  2. Построение визуализации содержимого загруженного дампа. Может быть полезна для понимания структуры трафика, так как позволяет визуально определить закономерности в нем.
  3. Построение длиннограммы — изображения, показывающего распределение размера пакетов по их количеству на некотором временном интервале.
  4. Построение статистики по TLS.
  5. Построение статистики по DTLS.
  6. Построение статистики по GEO.
  7. Построение статистики по DNS.
  8. Проверка на вхождение в репутационные списки.

Для данного механизма можно активировать следующие чекбоксы:

  • Interactive — вместо текстового формируется интерактивный HTML-отчет;
  • Generate signatures — добавить в отчет шаблоны для L4 payload;
  • Merge packets larger then — оптимизировать процесс обработки дампов;
  • Visualization of content — позволяет визуально определить закономерности в трафике;
  • Sampling — для построения визуализации используются только пакеты, кратные заданному значению. Например, если указано 5, то для визуализации будет выбран каждый пятый пакет. В режиме auto значение семплирования определяется механизмом таким образом, чтобы равномерно разместить захваченные пакеты на изображении максимальной высоты 200000 пикселей;
  • Generate length-o-gramm — сформировать длиннограмму;
  • External IP lists — добавить в отчет анализ по внешним репутационным спискам;
  • Custom IP lists — добавить в отчет анализ по дополнительным репутационным спискам;
  • SS IP lists — добавить в отчет анализ по репутационным спискам с сервера статистики;
  • Matched IPs — добавить в отчет IP-адреса, по которым обнаружено вхождение хотя бы в один из выбранных репутационных списков;
  • Src IP from pcap — отображать в отчете список уникальных src_ip из анализируемого .pcap;
  • Analyze TLS — добавить в отчет анализ TLS сообщений;
  • Analyze DNS — добавить в отчет анализ DNS пакетов;
  • Analyze GeoIP — добавить в отчет анализ по GeoIP базам.

Часть функциональности, связанная с проверками по MITIGATOR Feeds может быть недоступна, если не приобретена лицензия на использование фидов.