构建大型捕获文件(Ⅱ)——Pcap分析仪:Allegro网络万用表的Pcap过滤器
2023-1-10 10:20:19 Author: www.freebuf.com(查看原文) 阅读量:5 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

上一期我们讨论的是如何使用Wireshark工具进行结构化搜索的技术,这一期我们将为大家进行介绍,我们该如何使用 Allegro 网络万用表来加快 pcap 分析器的工作。

前期回顾:构建大型捕获文件(Ⅰ)——Wireshark过滤器和其他Allegro网络万用表工具

用Allegro网络万用表对流量进行预选

既然已经介绍了一些关于如何创建大型 pcap 文件以更好地掌握它们的重要技术,这第二部分将介绍 Allegro 网络万用表如何处理这一任务。

Allegro 网络万用表并不能完全取代 Wireshark。然而,它被设计为预先过滤 pcap 文件,以便用 Wireshark 进行更深入的数据包分析。

Allegro网络万用表测量流量并实时显示所有元数据;这适用于实时数据和历史网络流量。该工具的特殊之处在于其处理数据的速度。这对需要进行pcap分析的用户有利。

基本上,Allegro 网络万用表提供两种不同的功能。一方面,它可以在创建 pcap 时对流量进行单独和清晰的过滤;另一方面,现有的 pcap 文件可以上传到设备上,以便预先选择用 Wireshark 进行分析。

从 Allegro 网络万用表的数据中选择性地捕获 pcap

首先,这里讨论的是作为预过滤器的功能。通过 Allegro 网络万用表,由于广泛的过滤功能和数据关联,人们可以轻松快速地导航到流量的位置。在那里,可以直接从怀疑有错误的选定网络流量中保存一个 pcap。然后,这个大大缩小的 pcap 文件可用于 Wireshark 的快速分析。

从 Allegro 网络万用表仪表板导航到可疑故障

这种捕获功能被集成到Allegro网络万用表的所有分析模块中。从仪表板开始,你可以得到当前网络流量最重要的参数的第一份概览,你可以通过时间线和图表浏览不同的层次,更接近问题。在用户界面的大多数部分,都有一个pcap下载按钮,通过这个按钮,你可以很容易地捕获显示的、选定的网络流量作为浏览器下载,无论你想从MAC统计中下载一个pcap,还是从HTTP协议中下载一个pcap,例如:

如果你想解决一个问题,例如,为什么上周三的VoIP电话如此不稳定,只要导航到SIP模块,设置所需的时间范围,并按抖动对这个时间范围内的电话进行排序,或直接按电话号码过滤。有问题的电话现在可以通过pcap下载,以便用Wireshark进行进一步的数据包分析。

不仅可以随意预选流量,而且由于Allegro网络万用表的存在,故障排除的时间可以大大缩短,创建一个pcap的时间也缩短到了一小部分。

此外,除了基本的管理员知识外,操作该设备不需要进一步的专业知识。大多数过滤器都是预定义的,只需要进行选择。此外,操作者可以在命令行中相互组合。

将现有的 pcap 文件上传到 Allegro 工具进行过滤

Allegro网络万用表为加快使用Wireshark提供的第二个功能是上传pcaps。

如果在捕获前没有可能预先选择网络流量,例如从第三方收到要分析的pcap,那么文件可以通过USB或在浏览器中拖放的方式追溯上传到Allegro网络万用表,并可以使用该设备查看数据。

Allegro网络万用表具有非常高的导入速度,所以文件可以很快被打开。这里的特别之处在于,你可以访问已经导入的数据。这使分析的速度提高了许多倍。最重要的是,通常需要桥接的等待时间被消除了。因此,你可以留在主题上,不会有在等待时间内分心的风险。

在 Allegro Network Multimeter 中,缩小的 pcap 可以如上所述重新导出,并在 Wireshark 中进一步分析。

结论

等到打开一个pcap文件,然后确定重要的Wireshark数据已经成为过去。

第一部分文章解释了Wireshark为减少显示的数据而加入的几个过滤器功能。一些更深入的过滤器可能需要更深入的知识。

第二部分涉及Allegro Packets公司开发的Allegro网络万用表,它提供了广泛的过滤功能,只需点击几下就可以控制它们。

过滤器可以很容易地应用,无需额外的语法知识,使其易于使用。此外,Allegro 网络万用表加速了故障排除,因为可以快速确定错误。从问题区域记录的 pcap 可以减少进一步的数据包分析时间,因为 Allegro 网络万用表可以非常快速地处理和读取 pcap 文件。在读取过程中可以对数据进行分析。通常情况下,不需要使用 Wireshark 进行详细的数据包分析,因为问题可能已经被 Allegro网络万用表检测到,并确定了解决方案。


文章来源: https://www.freebuf.com/articles/database/354761.html
如有侵权请联系:admin#unsafe.sh