在 OIDA方法（觀察、識別、剖析、分析）中，識別階段對于在捕獲的網絡流量中精確定位相關數據至關重要。本文重點介紹如何在這一關鍵步驟中有效使用 Wireshark和 Profitap的 IOTA。

OIDA方法系列文章主要包含四個部分，分別是觀察、識別、剖析和分析。本文是該系列的第二部分——學會識別。

一、Wireshark：深入研究相關對話

Wireshark提供了幾種功能強大的工具，用于識別重要的流量模式和對話。

（一）對話框（Conversations dialog）

對話框是識別網絡端點之間通信模式的重要工具。

訪問對話框： 統計 >對話（Statistics > Conversations）

查看按各種標準（字節、數據包、持續時間）排序的對話

右鍵單擊會話，將其用作顯示過濾器

（二）將對話框與顯示過濾器結合使用

將對話框與顯示過濾器結合使用，可以實現精確的流量隔離：

應用初始顯示過濾器（如 http）

打開對話框查看特定于 HTTP的對話

右鍵單擊感興趣的對話并選擇應用為過濾器

現在，顯示過濾器將只顯示該特定 HTTP會話的流量

通過這種方法可以逐步完善視圖，有助于將相關流量歸零。

（三）端點對話框

端點對話框匯總了捕獲中的所有端點：

通過統計 >端點訪問( Statistics > Endpoints)

識別主要通話者或可疑端點

與對話框結合使用，跟蹤端點通信

（四）協議層次結構

Protocol Hierarchy（協議層次結構）窗口提供捕獲中存在的協議細目：

通過 “統計”>“協議層次結構 ”(Statistics > Protocol Hierarchy)訪問

快速識別主要協議

發現可能顯示問題的異常或意外協議

（五）使用協議層次結構

確認預期的應用程序行為

識別潛在的安全問題（如意外協議）

指導進一步過濾和分析

二、IOTA：實時識別和過濾

Profitap的IOTA提供實時儀表盤，可快速突出顯示網絡流量中值得關注的區域。在儀表盤之間切換和過濾數據的功能可讓您快速從鳥瞰視圖轉向數據包級細節。

（一）應用程序概覽儀表板

應用程序總覽儀表板可提供網絡上應用程序使用情況的即時概覽。

主要功能：

實時查看活動應用程序

每個應用程序的帶寬使用情況

快速過濾功能

有效使用：

監控意外應用流量

當報告特定應用程序出現問題時，使用儀表板快速過濾并關注該應用程序的流量

（二）TCP分析儀表板

IOTA中的TCP分析儀表板可與Wireshark的對話對話框相媲美，但可提供實時見解。

如何使用：

識別熱門通話者和最繁忙的對話

點擊特定流量，深入查看詳細的數據包數據

使用過濾選項關注特定 IP地址、端口或協議

TCP分析儀表板可實時快速識別異常流量模式或潛在瓶頸。

三、結論

掌握數據包分析中的識別階段包括有效使用 Wireshark的對話框、端點對話框和協議層次結構等工具，以及 IOTA的應用程序和流量儀表板。利用這些工具，分析人員可以快速定位相關數據、識別異常模式，并將調查重點放在最相關的信息上。

本文是系列文章的第二部分，后續文章將深入探討OIDA的“剖析”和“分析”階段。

下面是OIDA識別核對表，通過遵循此核對表并有效使用所討論的工具，分析師可以確保在識別階段采用全面的方法，為數據包分析的后續階段奠定堅實的基礎。

附：OIDA識別核對表

為確保在識別階段采取徹底的方法，請考慮以下核對表：

您是否使用了 Wireshark的協議層次結構來概述捕獲中的協議？

是否使用 Wireshark的 “對話 ”對話框或 IOTA的 “TCP分析 ”儀表板確定了主要對話？

您是否在 Wireshark中應用了適當的顯示過濾器來關注相關流量？

如果使用 IOTA，您是否使用了應用程序儀表板來識別和過濾特定應用程序流量？

您是否使用 Wireshark的端點對話框或 IOTA的 TCP分析儀表板交叉引用了感興趣的端點？

您是否發現了任何需要進一步調查的意外協議或應用程序？

您是否使用了過濾技術來隔離特定對話或數據流以進行更深入的分析？

是否檢查了流量模式中的任何異常或意外的高流量會話？

如果正在調查報告的問題，您是否成功隔離了與受影響應用程序或服務相關的流量？

您是否已準備好根據初步發現中出現的新信息對識別流程進行迭代？

歡迎前往艾體寶itbigtec了解更多Profitap-IOTA！

審核編輯 黃宇