Работа с сервисом psg.mitigator.ru

Управление через Web-интерфейс

В первую очередь необходимо выбрать дамп из списка на вкладке «Browser», нажав на его ID. Дамп может быть загружен непосредственно перед выбором или выбран из ранее загруженных. Также предусмотрен ручной ввод значений. В качестве значений могут быть указаны: IP-адреса, JAS hash, JA3 fulltext или UserAgent. В этом случае из введенных адресов будет сформирован текстовый файл, который отобразится в списке. Сформированные файлы с IP-адресами следует использовать в режиме «Анализ списка IP-адресов». Файлы с JA3 и UserAgent используются в режиме «Анализ TLS».

После выбора файла с дампом можно задать фильтры и выбрать способ анализа.

После настройки фильтров и выбора режима нужно поставить обработку дампа в очередь, нажав кнопку «Добавить в очередь». Когда анализ закончится, в таблице «Результаты обработки» появится новая строка с результатами анализа. Нажатие на «UUID» открывает подробный отчет об анализе. Нажатие на «Архив» скачивает архив с графическими данными, если они были сформированы при анализе.
Отчет по каждому из способов анализа содержит баннер с названием сервиса, способ анализа, время его начала и параметры, а также название файла с дампом.

Фильтры

Если заданы фильтры, то будут обрабатываться только пакеты, соответствующие фильтрам. Это нужно, если дамп «загрязнен» трафиком других приложений, или необходимо проанализировать конкретный поток.

Доступна фильтрация по:

  • протоколу (tcp, udp, icmp);
  • IP-адресу источника (src IP);
  • порту источника (src port);
  • IP-адресу назначения (dst IP);
  • порту назначения (dst port);
  • BPF. Произвольный фильтр, синтаксис tcpdump.

Способы анализа

Доступны следующий способы анализа: