IP Analyzer
Механизм анализирует списки IPv4-адресов, предоставляя расширенный набор данных по каждому адресу списка. В анализ поступают только уникальные IP-адреса. Проверяется:
- наличие адресов в репутационных списках;
- соответствие базам GeoIP.
Если в списке указан префикс от /16 до /32, то он раскладывается на отдельные адреса.
Могут быть проанализированы:
- Текстовый файл со списком записей через разделитель. Допустимые разделители: запятая, пробел, точка с запятой, перенос строки. Запись может быть IP-адресом, IP-адресом с маской, IP-адресом с портом через двоеточие (порт игнорируется).
- Файл .pcap или .pcapng. Анализируются IP-адреса отправителей пакетов.
Строки файла, закомментированные символом #
, не учитываются при анализе.
Для данного механизма можно активировать следующие чекбоксы:
Interactive
— вместо текстового формируется интерактивный html-отчет;Geo for each IP
— добавить в отчет информацию из GEO-баз по каждому IP-адресу списка;Countries by IP count
— добавить в отчет информацию о распределении IP-адресов списка по странам;AS by IP count
— добавить в отчет информацию о распределении IP-адресов списка по автономным системам;External IP lists
— добавить в отчет информацию о соответствии IP-адресов внешним репутационным спискам;Custom IP lists
— добавить в отчет информацию о соответствии IP-адресов дополнительным репутационным спискам;SS IP lists
— добавить в отчет информацию о соответствии IP-адресов репутационным спискам, сформированным на сервере статистики;Reduced IP lists
— выполнять проверку по укороченному перечню наиболее полезных списков из каждой категории;Matched IPs
— добавить в отчет перечень IP-адресов, попавших в выбранные репутационные списки;Geo for each matched IP
— добавить в отчет информацию из GEO-баз по IP-адресам, попавшим в выбранные репутационные списки;Countries by matched IP count
— добавить в отчет информацию о распределении по странам IP-адресов, попавших в выбранные репутационные списки;AS by matched IP count
— добавить в отчет информацию о распределении по автономным системам IP-адресов, попавших в выбранные репутационные списки.
Отчет
Отчет может формироваться как текстовый файл или как интерактивная html-страница,
если установлен чекбокс Interactive
. Содержание отчета не зависит от формы
представления, но интерактивная версия имеет ряд преимуществ и удобнее в использовании,
поэтому описание отчета строится на ней.
Каждая секция отчета может быть свернута. Внутри секций, отвечающих за проверку по
репутационным спискам приводится поименный перечень всех источников, в которые попали
анализируемые IP-адреса. Двойной клик на IP-адрес вызывает всплывающую подсказку, в
которой отображается перечень всех фидов, в которых обнаружен данный IP-адрес.
Если был установлен чекбокс Geo for each IP
, для такого IP-адреса также будет
выведена информация о соответствии стране, городу и автономной системе. В отдельных
секциях предусмотрена фильтрация по значениям, экспорт таблиц в CSV, вывод топа значений.
Интерактивный отчет может быть экспортирован в HTML страницу или JSON для последующего использования вне PSG.
Отчет состоит из секций:
-
- Total Unique IP — суммарное количество уникальных IP-адресов из разложения всех категорий записей;
- Matched IPs — количество адресов, по которым есть совпадения со списками и их процент от общего числа адресов;
- Prefix records parsed — количество префиксов в списке;
- Unique IP in prefixes — количество уникальных префиксов;
- Endpoint records parsed — количество IP-адресов с портом в списке;
- Unique IP in endpoints — количество уникальных сочетаний IP-адрес+порт;
- IP records parsed — количество записей в списке;
- Unique IP — количество уникальных IP-адресов в списке;
- Total valid IP records — количество IP-адресов в списке;
- Invalid IP records — количество значений, нераспознанных как IP-адреса, если они есть в файле.
-
Для IP-адресов загруженного списка отображается соответствие стране, городу, номеру и имени автономной системы. Доступна фильтрация по всем полям таблицы;
-
Для IP-адресов загруженного списка отображается распределение по странам в виде таблицы и интерактивной карты.
-
Для IP-адресов загруженного списка отображается распределение по номерам и названиям автономных систем.
-
В секции приводятся список всех IP-адресов, по которым обнаружено вхождение в репутационные списки этой категории, затем вхождение по каждому списку c указанием названия списка и количества вхождений;
-
В секции приводятся список всех IP-адресов, по которым обнаружено вхождение дополнительные репутационные списки, затем вхождение по каждому списку, затем вхождение по каждому списку c указанием названия списка и количества вхождений;
-
В секции приводятся список IP-адресов, по которым обнаружено вхождение в репутационные списки, сформированные на сервере статистики за различные временные интервалы, затем вхождение по каждому списку. Доступна фильтрация по именам списков, с использованием регулярных выражений, реализованная через 2 поля ввода:
Show
иHide
. Например, можно показывать только фиды, в названии которых присутствуетtbl_asn_*
и вычесть из выдачи фиды за 30 дней; -
В секции приводятся списки IP-адресов, по которым обнаружено вхождение хотя бы в один из выбранных репутационных списков.
-
Для IP-адресов, попавших хотя бы в один из выбранных репутационных списков, отображается соответствие стране, городу, номеру и имени автономной системы.
-
Countries by matched IP count;
Для IP-адресов, попавших хотя бы в один из выбранных репутационных списков, отображается распределение по странам.
-
Для IP-адресов, попавших хотя бы в один из выбранных репутационных списков, отображается распределение по автономным системам.