Service Analyzer

Механизм помогает в первоначальной настройке защиты за счет выявления сервисов в защищаемой сети на основе загруженного дампа. На текущий момент любой загруженный дамп воспринимается механизмом как дамп входящего трафика из внешней сети.

В поле Five tuple threshold задается количество повторений уникального 5-tuple в дампе. Если число повторений меньше установленного лимита, то такой 5-tuple не попадет в отчет.

Для данного механизма можно активировать следующие чекбоксы:

  • Advanced report — для разделов “Used IP addresses in protected network” и “Services in protected network”. В соответствующих секциях отчета отображается более детальная статистика;
  • Aggregated statistics by protocol — добавить в секцию отчета “Services in protected network” раздел “Proto stat”;
  • Advanced report for general statistics — в разделе “General stat” отображается более детальная статистика;
  • Advanced report for external connections — в разделе “SYN+ACK external connections in protected network” отображается более детальная статистика.

Выдача во всех секциях отчета может быть отсортирована по убыванию:

  • количества пакетов;
  • количества байт;
  • скорости в пакетах в секунду;
  • скорости в битах в секунду;
  • времени захвата пакета.

По умолчанию сортировка выполняется по убыванию количества пакетов.

Отчет

Отчет состоит из секций:

  • Total;

    • Packets total — всего пакетов в PCAP-файле;
    • File — название анализируемого PCAP;
    • Capture begin — дата и время начала захвата;
    • Capture end — дата и время окончания захвата;
    • Capture duration — продолжительность захвата.

  • IPs in protected network;

    В секции приводится список уникальных IP-адресов получателя из дампа. По каждому IP-адресу строится следующая статистика:

    • количество пакетов на IP-адрес;
    • процент пакетов на IP-адрес к общему количеству пакетов в дампе;
    • суммарный объем пакетов на IP-адрес в байтах;
    • средняя скорость поступления пакетов на IP-адрес в пакетах в секунду;
    • средняя скорость поступления пакетов на IP-адрес в битах в секунду.

    Если установлен чекбокс “Advanced report”, то в раздел добавляется аналогичная статистика по каждому уникальному IP-адресу отправителя в сторону каждого IP-адреса получателя.

  • Services in protected network;

    В секции приводится список уникальных сочетаний IP-адрес получателя + порт получателя из дампа. По каждому сочетанию отображаются следующие данные:

    • IP-адрес;
    • порт;
    • протокол;
    • количество пакетов на IP-адрес получателя + порт получателя;
    • процент пакетов на IP-адрес получателя + порт получателя к общему количеству пакетов в дампе;
    • суммарный объем пакетов на IP-адрес получателя + порт получателя в байтах;
    • средняя скорость поступления пакетов на IP-адрес получателя + порт получателя в пакетах в секунду;
    • средняя скорость поступления пакетов на IP-адрес получателя + порт получателя в битах в секунду.

    Если установлен чекбокс “Advanced report”, то данные выдаются по каждому уникальному 5-tuple сочетанию (IP-адрес отправителя, порт отправителя, IP-адрес получателя, порт получателя, протокол).

    В разделе “Aggregated services” данные группируются по IP-адресу получателя. Приводится диапазон портов, на которые для каждого IP-адреса получателя поступали пакеты и количество портов в диапазоне.

    Если установлен чекбокс “Aggregated statistics by protocol”, то добавляется раздел “Proto stat”, в котором отображается распределение пакетов из дампа по протоколам транспортного уровня.

  • External connections in protected network;

    В секции приводится список уникальных внешних ресурсов, к которым обращались из защищаемой сети. Во всех разделах секции приводятся данные по уникальным src-эндпойнтам:

    • IP-адрес;
    • порт;
    • протокол;
    • количество пакетов от эндпойнта;
    • процент пакетов от эндпойнта к общему количеству пакетов в дампе;
    • суммарный объем пакетов от эндпойнта в байтах;
    • средняя скорость поступления пакетов от эндпойнта в пакетах в секунду;
    • средняя скорость поступления пакетов от эндпойнта в битах в секунду.

  • Раздел “General stat”;

    Сырые данные по всем src-эндпойнтам, обнаруженным в PCAP-файле.

    Если установлен чекбокс “Advanced report for general statistics”, то отображается расширенная статистика по уникальным 5-tuple.

  • Раздел “SYN+ACK external connections in protected network”;

    Список сессий, установленных с защищаемыми сервисами, учитывается SYN+ACK пакет, полученный в ответ на SYN защищаемого сервиса и остальные пакеты с тем же tuple.

  • Раздел “Src IP + src port –> many dst ports”.

    Список уникальных сочетаний IP-адреса и порта отправителя, обращающихся ко многим портам получателя.

    Если установлен чекбокс “Advanced report for external connections”, то отображается расширенная статистика по уникальным 5-tuple.