數據分析
完成了數據的抓取,那麼接下來就是NetAnalyzer的第二個重點部分了,協議分析作為整個軟件的核心之一,在最新的NetAnalyzer中已經得到了巨大的提升。NetAnalyzer中協議分析分為單數據包分析,和聯合分析兩種分析方式,對於聯合分析會根據不同的協議特性進行形成不同的分析方案,目前支持傳輸協議(TCP/UDP)協議分析, HTTP協議分析。在數據統計部分部分還增加了針對ARP協議的圖形化分析。對於協議分析,需要了解相關的網絡知識或是有相關專業背景支持。
單數據包分析,在獲取到數據包后,軟件工作界面數據包列表框中會显示所獲取的所用數據包,並且對這次數據做了一些簡單的分析,我們可以憑藉這些數據簡單判斷所對應的的數據包類型。
數據包列表
當我們選中一行,即選中一個數據包,我們可以看到對該數據包詳細的數據分析信息,並一樹狀結構樹呈現出來,並在右側显示該數據包原始信息。當我們選中協議樹中一個字段時,右側的數據就會定位到當前字端所分析數據的位置。
數據分析
然後通過對應的協議格式進行匹配與分析,如這部分的IP協議。
IPv4協議格式
需要注意的是,NetAnalyzer目前對於選中的字段只能精確到字節層次,對於一些協議,其中一個字節可能包含了多個字段,或是跨字節的字段,則會選擇全部的字節數據,比如IPv6協議。
IPv6協議格式
其中的版本字段只佔用了4bit(1字節為8bit),通信類型佔了8bit 也就是1字節,但是因為其中前面部分使用了版本字段所在字節後面的4bit,所以改字段為一個典型的跨字節字段,同樣流標籤字段使用了20bit,佔用第二個字節的4bit加上後面自身的2個字節(16bit)。
解析后的IPv6數據
對於類型的字段因為NetAnalyzer使用十六進制显示數據,並不能清晰表達bit層次的信息所以當選定字段后默認選中改字段所在的字節,如點擊版本選中方式如下,
IPv6版本信息
選中通信類型和流標籤則呈現方式如下。
通信類型和流標籤共用數據
數據分析標籤
雖然NetAnalyzer盡可能多分析每個數據包所包含的信息,但是依舊存在很多數據需要我們手動去解析。所以軟件增加了數據標籤。
數據分析
在數據標籤頁點擊 显示 按鈕 就可以打開數據轉換窗口,當然也可以在常規轉換中點擊任意功能可以打開轉換窗口
轉換窗口管理
關閉按鈕為關閉轉換窗口,清空則是清空當前窗口內的數據。
點擊清空按鈕,則清空轉換信息。
常規轉換工具
NetAnalyzer中提供了一部分簡單的轉換功能,這些功能只有在載荷數據被選中的情況的才可以啟用,
如點擊二進制按鈕,則對所選的數據轉換為對應的二進制字符串。如下圖所示。
常規數據轉換窗口
除了一些簡單的轉換功能,還集成了MangoScript擴展方式和插件擴展方式(無可用插件的
時候不显示)的轉換。
擴展MangoScript的解析
如下面通過MangoScript針對某即時通信軟件的數據分析。
針對於MangoScript和插件兩種方式的轉換,將會在在《NetAnalyzer使用說明書 二 擴展與開發》中詳細說明,此處不再贅述。
定位轉換功能需要配合常規轉換進行使用,有時候我們確定某個字節會在一個確定的位置出現,比如IP地址字段,我們選中該位置,位置字段就會出現一串代碼 (10,1) [26]-4
(x,y)[offset] – length
x: 十六進制編輯器水平方向的偏移量
y : 十六進制編輯器垂直方向的偏移量
offset : 字節偏移量,offset = y * 16 + x
length : 當前選擇的數據長度
數據轉換
所以代碼 (10,1) [26]-4 確定了當前IP地址的位置,此時點擊 常規轉換 -> IPv4地址 則會在模式中記錄當前的轉換模式,然後點擊定位轉換,就會在當前數據包列表中針對每個數據包這個位置執行定位操作,這對於尋找所需要的數據非常重要。
選擇了IPv4轉換
執行定位轉換
對於MangoScript和插件擴展依然支持定位轉換。
區塊複製,主要是對一些已經選中的字節進行複製轉為代碼,字節數組,以及保存的功能,以及數據做手動分析,腳本分析以及自定義轉換等,後續將會說明,此處不再詳細介紹。
數據塊操作
字節定位,與定位轉換類似,但是字節定位主要是用來在數據包列表中查找相同位置出現相同字節序列的數據包。算作一個查找功能。
字節定位
分析標籤
分析標籤下個功能依託於數據包列表,分別有載荷數據提取,數據包標記,編碼轉換,數據查找,統計等相關功能,是聯合分析的主要功能,下面將會着重對一下功能進行說明。
數據分析標籤
TCP/UDP協議分析 前面介紹的都是基於單包的數據分析,而在協議分析中,我們大部分分析的數據都是依託於TCP/UDP的長連接數據,這部分數據的特點就是有多個數據包通過tcp或udp相關協議完成數據重組后才可以使用(基於udp的連接數據可能不是很嚴格)。
NetAnalyzer 除了提供基於單包的數據分析,更提供了基於連接數據的分析,而分析出來的數據不僅僅是在窗口上呈現一堆亂碼,更可以通過DocBar將獲取的數據提取出來進行使用。
在開始 標籤最後一部分就是基於長連接的分析。點擊TCP/UDP 按鈕
基於TCP/UDP載荷數據查看
此時NetAnalyzer便會切換到載荷數據模式(該過程可以通過配置,使用獨立窗口打開)。在該模式下會打開專有的載荷數據菜單,數據區域也會變為對於載荷數據的分析,這裏先介紹一個NetAnalyzer中的DocBar工具,如下圖
DocBar
在文本模式下,分析載荷數據會显示該工具條,該工具條會提供針對當前數據塊的各種操作,當然在不動情況下,显示的工具和數量,都有所不同,下面是對當前各個功能的說明。
l 對當前數據塊進行摺疊
l 選中當前的分析數據
l 保存當前原始數據
l 查看原始數據(bytes數據)
l MangScript解析數據
l 手動測試數據
對於其他情況下的工具在這裏不會一一介紹,但是碰到的時候會有說明,並且隨着後續功能點的增加,DocBar可能會有更多的功能添加進來。
tcp/udp 的分析分為 文本模式和 原始模式 ,文本模式主要是用於分析載荷數據為文本的數據,我們可以通過下面兩種方式更改文本編碼方式,分析數據。
文本模式下,呈現方式如下:
查看載荷數據
原始模式分析如下,可用通過TCP/UDP的下拉菜單命令 字節數據 切換為原始數據
字節查詢方式
字節方式呈現
對於在該功能下針對TCP的所有數據都已經進行過TCP重組,所以最終分析完成的數據並不是按照數據包方式做簡單呈現就可以的,都會做數據的篩查與整理。如果需要單包分析的使用者需要注意一下。
HTTP數據分析 http作為最有網絡代表意義的協議,NetAnalyzer提供了更加完善的分析,http基於tcp協議,所以數據還原等都建立在tcp數據還原的基礎之上。通過http分析,我們可以還原很多有意義的數據,如獲取到Http所傳輸的的html、js、css數據文件,還可以獲取到基於http協議分析得到的圖片,文件等信息,如下圖分別為還原后的圖片和zip壓縮包。
http方式分析出的圖片
http方式分析出的文件
對於常規的字符串或圖片可以直接在NetAnalyzer呈現,但是對於其他類型的文件,如視頻、音樂、以及上面提到的zip壓縮包文件,在在NetAnalyzer會簡單显示為二進制數據,該數據如果過長,則會截斷显示,但是在後面會加入【全部數據】下鑽選項,當點擊該數據后則會打開原始數據對話框,並且會完整显示當前的數據,如下圖所示。
查看原始數據
原始數據對話框中,提供了簡單的數據另存為和數據識別相關的功能。
原始數據保存
保存 保存當前窗口中的數據為一個文件。
保存選擇數據 是當選擇對話框中其中的一段數據保存為文件,有時候數據可能存在偏差,或者我們需要提取選定的數據保存為文件,可以通過下拉保存選定的數據進行保存。
數據識別功能。
轉為… 則是將當前的數據轉到編碼轉換工具中進行進一步分析。
自動識別 為了更加快速的實現數據提取,NetAnalyzer增加了數據識別模塊,通過整理不同文件的頭部或尾部字節形成數據識別特徵,當進行自動識別的時候,可以快速定位字節。
文件識別
添加特徵 將選定的指定字節添加為文件識別頭,並且添加相關信息,形成一個特徵。
添加文件識別
識別管理 管理特徵庫,在後續將詳細介紹該功能點。
載荷數據分析出的文件
除了使用常規的識別方式,在載荷數據提取中也加入了數據識別功能。在使用的時候點擊數據識別就可以在下方显示被識別到的數據類型,有時候可能會存在多個類型和誤識別的情況,使用的時候請務必注意。
有時候通過HTTP協議還原部分二進制數據,如下面還原ZIP文件,文檔會以二進制數據呈現,而我們可以通過0x50 0x4B(PK)推斷出該文件很有可能是zip文件 ,所以我們點擊全部數據 ,打開原始數據窗口,這部分數據正好是zip的全部數據。
保存的zip文件內容
此時點擊將當前數據保存為zip文件。減壓就可以看到對應的文件內容。
在載荷數據模式下,菜單會自動切換為,載荷模式菜單
載荷數據標籤
該菜單下提供了很多常用的字符串轉換工具
格式轉換工具
如下面通過通過Cookie格式化,格式化了http頭中的cookie字段
Cookie格式化
需要注意的是使用這些字段首先需要選中被轉換的文本,然後點擊需對應的功能項。其中如果點擊轉換為…,則啟動NetAnalyzer附帶的編碼轉換工具,進行集中處理。
編碼轉換工具
針對html字符串數據,還提供了過濾標籤和HTML預覽功能,因為該部分功能都很類型,且使用簡單,用戶自行嘗試使用即可。
時序圖 在數據分析中,除了對於數據本身的分析之外,有時候我們還要去評測一些數據質量等方面的內容。並且可以通過圖像化的方式表現出來。
TCP時序圖分析
時序圖模擬TCP/UDP在數據網絡中的數據傳輸過程,還原網絡通信場景,如該圖可以完整的反映TCP三次握手以及斷開連接四次揮手的情景。可以作為對當前分析數據從另外一個方面的反饋,更具有參考意義。
點擊
時序圖選項
就可以看到針對於當前tcp/udp 數據交互的情況。
數據標記
在分析標籤下面,有標記功能,實現對當前採集會話數據連接的進行快速識別。
數據標記
NetAnalyzer提供了四中顏色對數據包鏈接進行區分。
如TCP數據包,就會通過源IP地址+源端口地址+目標IP地址+目標端口 作為一個特徵來進行識別,此處的源和目標具有相對性。
注* ctrl+鼠標左鍵 可以實現對數據會話的快速標記 顏色為紅色
標記完成的數據
通過點擊清理標記,可還原數據。
數據包查找
數據包查找
在數據包列表模式下使用Ctrl+F即可以打開數據包查找功能。
該功能主要是實現快速查找數據包的功能,可以通過編號,協議,地址(mac/ip),端口,關鍵字等五種方式查找數據包。還可以通過數據列表導航按鈕進行數據包列表瀏覽。
編碼方式
在通過TCP/UDP 或HTTP 功能還原數據的時候,有時候會出現亂碼,尤其是對非英文字符。在HTTP協議中通常都會在頭部信息中攜帶編碼方法,通過提取就可以獲取到編碼方式,但是仍然後部分服務並不提供編碼字段,這時候就需要我們通過手動切換,來嘗試還原相關信息。
通過菜單欄或者是狀態欄都可以對編碼方案進行切換
字符編碼
狀態欄字符編碼
這裏需要注意的是如果http頭部包含了編碼方式,則使用頭部提供的編碼方式。
數據統計
目前NetAnalyzer显示了大量的統計方式,涵蓋了數據報表、流量分析、主機通信矩,傳輸報告、ARP報告等多種統計方式。
數據報表
報表信息
對當前捕獲的數據表中的數據進行統計與歸類。呈現方式如有圖所示。
報表內容
包含一些基本信息,數據量與時間直線圖,數據量佔比,關係圖等信息
本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理
【其他文章推薦】
※網頁設計一頭霧水該從何著手呢? 台北網頁設計公司幫您輕鬆架站!
※網頁設計公司推薦不同的風格,搶佔消費者視覺第一線
※想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整
※南投搬家公司費用,距離,噸數怎麼算?達人教你簡易估價知識!
※教你寫出一流的銷售文案?
※超省錢租車方案
※回頭車貨運收費標準