Payload Analyzer

Механизм анализирует L4 payload из дампа и выделяет сигнатуры трафика. Payload Analyzer принимает на вход дампы трафика в форматах PCAP или PCAPNG.

Нужно указать параметры для построения дерева решений:

• Decisions — максимальная вложенность ветвления. Определяет глубину поиска в процессе построения дерева решений.

• Decision type — алгоритм построения дерева решений.

  • First suitable decision — поиск первого подходящего решения;
  • All possible decisions — поиск всех возможных решений в рамках заданной вариативности и максимального уровня вложенности;
  • Decision of minimum length — обход по веткам минимальной длины вне зависимости от полноты решения.

• Variability — вариативность данных в пределах смещения для создания ветки. Максимальное число дочерних веток дерева решений.

• Bytes in packet — количество первых байт payload, которые будут анализироваться. Ограничение по количеству первых байт позволяет создать укороченные сигнатуры, например, для применения flex filter в JunOS. Уменьшает время анализа.

• Generate payload filter expressions — добавляет в отчет фильтры для tcpdump и/или tshark.

• Show hints — добавляет в отчет вспомогательные секции.

Отчет может формироваться как текстовый файл или как интерактивная HTML-страница, если установлен чекбокс Interactive. Содержание отчета не зависит от формы представления, но интерактивная версия имеет ряд преимуществ и удобнее в использовании. Интерактивный отчет может быть экспортирован в HTML страницу или JSON для последующего использования вне PSG. Каждая секция отчета может быть свернута.

Если с параметрами по умолчанию не выделилась сигнатура, то для клиентов может быть сложно интерпретировать подсказки и корректировать параметры поиска решения. В этом случае следует попробовать Multipurpose Analyser как наиболее комплексный.