Анализирует L4 payload. Нужно указать параметры для построения дерева решений:
Decisions — максимальная вложенность ветвления. Определяет глубину поиска в процессе построения дерева решений.
Decision type — алгоритм построения дерева решений.
Variability — вариативность данных в пределах смещения для создания ветки. Максимальное число дочерних веток дерева решений.
Bytes in packet — количество первых байт payload, которые будут анализироваться. Ограничение по количеству первых байт позволяет создать укороченные сигнатуры, например, для применения flex filter в JunOS. Уменьшает время анализа.
Show hints — добавляет в отчет вспомогательные секции.
В шапке отчета отображаются баннер с названием сервиса, название способа анализа, время его начала и параметры, а также название файла с дампом.
Отчет состоит из секций:
packets stats;
protocols stats;
распределение пакетов по протоколам в процентах.
packets payload len stats;
распределение пакетов по длине L4 payload. Абсолютное значение и процент от
всех пакетов, принятых в обработку.
[tcp, udp] [src, dst] ports stats;
Распределение пакетов по портам. Количество пакетов, процент от всех пакетов,
принятых в обработку, и процент от общего числа пакетов.
Выводит до 10 наиболее используемых портов среди пакетов, попавших в обработку.
дерево решений.
описание фильтрации по L4 payload в синтаксисе контрмеры REX.
При установленном флаге Show hints
в отчет будут добавлены секции:
values to separate into branches
Показывает смещения L4 payload c вариативностью меньше указанной и присутствующее
в 100% обработанных пакетов. Если с заданной вариативностью не найдены кандидаты
на ветвление, но существует во всех пакетах по какому-то смещению количество
значений больше заданной вариативности, то сообщается минимальное значение для
нахождения хотя бы одной ветки.
another common values in processed payload
Показывает смещения L4 payload, которые содержат малоизменяемые значения (в более
90% пакетов, где доступно такое смещение, по нему один и тот же байт). Отображается
абсолютное количество пакетов и процент от общего количества пакетов для каждого
смещения. Смещения, содержащие малоизменяемые значения, но с небольшим количеством
пакетов (менее 90% от общего), не отображаются.
possible related values in processed payload
Выполняет поиск L4 payload значений, которые имеют одинаковое число повторений,
скорее всего они изменяются синхронно. Отображается абсолютное количество пакетов и
процент от общего количества обработанных пакетов для каждого набора связанных
значений. В расчет не берутся значения, которые не меняются и встречаются очень
редко (менее 5% от числа обработанных пакетов).
possible floating values in processed payload
Выполняет поиск L4 payload значений, которые плавают в небольшом диапазоне
смещений (8) и содержится во всех пакетах в рамках этого диапазона. Не учитываются
значения, которые не меняются. Если найдено несколько одинаковых значений с
пересекающимися диапазонами смещений, они объединяются.
На больших файлах анализ может занимать продолжительное время. Если с параметрами по умолчанию не выделилась сигнатура, то для клиентов может быть сложно интерпретировать подсказки и корректировать параметры поиска решения. В этом случае следует попробовать Multipurpose Analyser как наиболее комплексный.