Введение в статистику трафика 0:05 Статистика помогает упростить анализ большого объема данных. Используются таблицы и графики для визуализации данных. В Rook есть четыре утилиты для анализа трафика.
Утилиты Rook 1:06 Иерархия протоколов: показывает структуру трафика и преобладающие протоколы. Конверсейшнс: показывает сетевые взаимодействия между хостами. Энд-пойнт: выводит общую статистику трафика по хостам. Айографс: визуализирует трафик в графическом виде для поиска паттернов и аномалий.
План лабораторной работы 3:18 Работа с каждой утилитой для анализа трафика. Использование готового дампа HTTP. Студенты собирают фоновый трафик своего компьютера.
Сбор фонового трафика 3:39 Студенты собирают трафик в течение 10 минут, не используя браузеры и мессенджеры. Автор собирает трафик на своем компьютере. Дамп весит около 4 МБ.
Анализ протоколов 5:08 Использование утилиты "иерархия протоколов" для анализа трафика. Большая часть трафика - IP версии 4, 98%. ARP и IP версии 6 также присутствуют.
Анализ IP версии 4 6:42 IP версии 4 включает TCP, UDP, ICMP и другие протоколы. Пример: трафик от студии разработки игры Call of Duty Mobile. Утилита помогает быстро найти странный трафик.
Анализ IP версии 6 8:15 IP версии 6 включает TLS и другие протоколы. Пример: использование Google Chrome и Яндекс. Утилита помогает фильтровать трафик по протоколам.
Анализ хостов 10:22 Использование утилиты "энд-пойнт" для определения самого активного хоста. Пример: самый активный хост - компьютер автора. Утилита помогает фильтровать трафик по хостам.
Анализ сетевых взаимодействий 11:21 Использование утилиты "конверсейшнс" для анализа сетевых взаимодействий. Пример: трафик между компьютером автора и сервером Яндекса. Утилита помогает найти самые активные сессии.
Заключение 13:21 Алгоритм анализа: определить самый активный хост, создать фильтр, найти самые активные сессии. Использование утилиты "айографс" для визуализации трафика.
Использование утилиты AIO Graphs 14:11 Утилита AIO Graphs часто используется для отображения пропускной способности. В AIO Graphs можно выбирать ось X для времени и ось Y для пакетов или битов. Можно выбирать стиль отображения графика и цвет.
Добавление нескольких графиков 15:23 На один график можно добавлять несколько примеров. Пример: отображение трафика DNS с использованием фильтра. Это удобно для обнаружения инцидентов и паттернов в трафике.
Анализ трафика от роутера 16:22 Пример: отображение трафика от роутера с использованием IP-адреса. Можно увидеть всплески трафика через равные промежутки времени. Проверка теории с помощью наложения пакетов ICMP.
Сравнение трафика 18:51 Пример: сравнение трафика до сети 184.0.0.0 с остальным трафиком. Использование фильтра для отображения только нужного трафика. Визуализация соотношения между трафиком от сети 184.0.0.0 и остальным.
Заключение 20:23 Обзор четырех утилит и их использование. Практическая часть курса завершена, на следующем уроке будут подведены итоги и даны рекомендации. Благодарность за внимание и приглашение на следующий урок.
