艾體寶干貨丨OIDA之一：掌握數(shù)據(jù)包分析-學(xué)會(huì)觀察

簡(jiǎn)介

OIDA方法論是數(shù)據(jù)包分析的有效手段。其中，觀察是至關(guān)重要的第一步。本文探討了如何通過(guò)明確目標(biāo)、選擇最佳捕獲點(diǎn)、確定捕獲時(shí)機(jī)以及使用合適工具來(lái)優(yōu)化這一過(guò)程，從而為后續(xù)分析過(guò)程奠定堅(jiān)實(shí)基礎(chǔ)。

您是否在數(shù)據(jù)包分析中遇到了挑戰(zhàn)？專業(yè)人員經(jīng)常發(fā)現(xiàn)自己對(duì)錯(cuò)綜復(fù)雜的數(shù)據(jù)包分析束手無(wú)策。OIDA方法（觀察、識(shí)別、剖析、分析）可用于更好地應(yīng)對(duì)這一挑戰(zhàn)。這種方法旨在簡(jiǎn)化數(shù)據(jù)包分析流程，使新手更容易掌握，同時(shí)提高經(jīng)驗(yàn)豐富的分析人員的效率。

OIDA方法系列文章主要包含四個(gè)部分，分別是觀察、識(shí)別、剖析和分析。本文是該系列的第一部分。

一、什么是 OIDA？

OIDA 代表一個(gè)四步流程，旨在指導(dǎo)分析人員完成數(shù)據(jù)包分析之旅：

• 觀察： 在正確的時(shí)間和地點(diǎn)捕獲正確的數(shù)據(jù)。
• 識(shí)別： 精確定位捕獲數(shù)據(jù)中的相關(guān)信息。
• 剖析：分解已識(shí)別的數(shù)據(jù)進(jìn)行詳細(xì)檢查。
• 分析： 從分解的信息中得出有意義的結(jié)論。

雖然每個(gè)步驟都至關(guān)重要，但本文重點(diǎn)關(guān)注基礎(chǔ)性的第一步：觀察。該步驟為后續(xù)所有分析奠定了基礎(chǔ)，并能顯著影響結(jié)果的質(zhì)量。

二、學(xué)會(huì)觀察

數(shù)據(jù)包分析中的觀察不僅僅是捕獲或接收數(shù)據(jù)，而是一個(gè)需要精心規(guī)劃和執(zhí)行的戰(zhàn)略過(guò)程。

1、確定目標(biāo)

在開(kāi)始數(shù)據(jù)包捕獲之前，必須明確定義目標(biāo)。無(wú)論是排除特定應(yīng)用程序的故障、調(diào)查安全事件還是了解整體網(wǎng)絡(luò)性能，目標(biāo)都會(huì)指導(dǎo)從捕獲位置到持續(xù)時(shí)間的整個(gè)觀察策略。

2、選擇最佳捕獲點(diǎn)

網(wǎng)絡(luò)流量流經(jīng)許多點(diǎn)，選擇正確的捕獲點(diǎn)至關(guān)重要。要分析兩臺(tái)服務(wù)器之間的流量，理想的捕獲點(diǎn)是所有相關(guān)流量都能看到，而不會(huì)被無(wú)關(guān)數(shù)據(jù)淹沒(méi)。了解網(wǎng)絡(luò)拓?fù)?/a>結(jié)構(gòu)是做出這一決定的關(guān)鍵。如果接收現(xiàn)有流量，還應(yīng)確保能看到所有相關(guān)流量。因此，還應(yīng)該詢問(wèn)網(wǎng)絡(luò)圖。

有些網(wǎng)絡(luò)問(wèn)題具有間歇性或時(shí)間敏感性。在正確的時(shí)間進(jìn)行觀察，是捕捉到問(wèn)題還是完全錯(cuò)過(guò)問(wèn)題的關(guān)鍵。這可能需要在高峰時(shí)段安排捕獲，或設(shè)置觸發(fā)器，在滿足特定條件時(shí)開(kāi)始捕獲。此外，有些問(wèn)題可能需要長(zhǎng)期監(jiān)控才能獲得足夠的信息來(lái)發(fā)現(xiàn)。性能分析也是如此，在性能分析中，長(zhǎng)期捕獲往往有利于獲取更多的歷史數(shù)據(jù)。

4、選擇正確的工具

雖然 Wireshark 是一款功能強(qiáng)大且廣受歡迎的數(shù)據(jù)包分析工具，但它并不總是適用于所有情況。Profitap 的 IOTA 等設(shè)備可提供流量捕獲、板載分析和實(shí)時(shí)洞察，這在某些情況下是非常寶貴的。IOTA 能夠提供網(wǎng)絡(luò)流量的即時(shí)可見(jiàn)性，是正確工具如何加強(qiáng) OIDA 觀察階段的例證。以下將探討這一關(guān)鍵步驟的核心要素。

5、確保符合法律和道德規(guī)范

在開(kāi)始數(shù)據(jù)包捕獲之前，必須確保必要的權(quán)限到位，并遵守所有相關(guān)法律和公司政策。在許多司法管轄區(qū)，未經(jīng)同意捕獲某些類型的數(shù)據(jù)可能是非法的。在觀察過(guò)程中，應(yīng)始終優(yōu)先考慮道德因素。

6、獲取足夠的數(shù)據(jù)

捕獲足夠的數(shù)據(jù)是進(jìn)行深入分析的關(guān)鍵，盡管避免過(guò)多的數(shù)據(jù)捕獲同樣重要。這通常需要平衡捕獲持續(xù)時(shí)間、緩沖區(qū)大小和數(shù)據(jù)管理技術(shù)。延長(zhǎng)捕獲時(shí)間或增加緩沖區(qū)大小可以提供更全面的數(shù)據(jù)，但可能導(dǎo)致文件過(guò)大或系統(tǒng)無(wú)法跟上，從而導(dǎo)致數(shù)據(jù)丟失。

為應(yīng)對(duì)這一挑戰(zhàn)，可以實(shí)施循環(huán)捕獲緩沖區(qū)。這種技術(shù)涉及創(chuàng)建多個(gè)固定大小或持續(xù)時(shí)間的捕獲文件，當(dāng)前文件達(dá)到限制時(shí)，自動(dòng)開(kāi)始新的文件。

• 持續(xù)捕獲數(shù)據(jù)而不會(huì)創(chuàng)建難以管理的大文件。
• 即使需要丟棄舊數(shù)據(jù)，也能保留最新數(shù)據(jù)。
• 通過(guò)處理更小、更易管理的文件大小，簡(jiǎn)化捕獲后的分析。
• 降低因系統(tǒng)資源限制導(dǎo)致的數(shù)據(jù)丟失風(fēng)險(xiǎn)。

關(guān)鍵在于找到全面數(shù)據(jù)收集與高效數(shù)據(jù)管理之間的平衡，并根據(jù)具體的分析任務(wù)量身定制方法。

7、記錄過(guò)程

在觀察和捕獲過(guò)程中進(jìn)行記錄至關(guān)重要。記錄時(shí)間、地點(diǎn)、捕獲持續(xù)時(shí)間以及任何相關(guān)的網(wǎng)絡(luò)條件，為 OIDA 方法的后續(xù)步驟，特別是在分析階段，提供了寶貴的信息。

三、結(jié)論

掌握觀察的藝術(shù)為成功的數(shù)據(jù)包分析奠定基礎(chǔ)。分析的質(zhì)量取決于捕獲的數(shù)據(jù)質(zhì)量。精心規(guī)劃和執(zhí)行觀察策略可以使 OIDA 的后續(xù)步驟——識(shí)別、剖析和分析——更加簡(jiǎn)單和有效。

顯然，這個(gè)過(guò)程是迭代的。初次嘗試可能無(wú)法清晰顯示問(wèn)題，需要重新捕獲。然而，這個(gè)過(guò)程旨在解決所有痛點(diǎn)，確保第一步就能捕獲相關(guān)信息。

本文是系列文章的第一部分，后續(xù)文章將深入探討 OIDA 的“識(shí)別”、“剖析”和“分析”階段。

四、OIDA 觀察清單

• 你是否明確定義了要調(diào)查的問(wèn)題或場(chǎng)景？
  你是否確定了在網(wǎng)絡(luò)中捕獲相關(guān)流量的最佳位置？
• 你是否選擇了適合需求的數(shù)據(jù)包捕獲工具（如 Wireshark、tcpdump、Profitap IOTA）？
• 你是否確定了捕獲相關(guān)流量的最佳時(shí)間窗口？
• 你是否擁有在該網(wǎng)絡(luò)上捕獲流量的必要權(quán)限？
• 你是否配置了捕獲過(guò)濾器以關(guān)注相關(guān)流量（如適用）？
• 你的捕獲緩沖區(qū)大小是否適當(dāng)？
• 你是否確保有足夠的存儲(chǔ)空間存儲(chǔ)預(yù)期的捕獲文件大小？
• 你的捕獲設(shè)備的時(shí)鐘是否同步，以確保準(zhǔn)確的時(shí)間戳？
• 你是否準(zhǔn)備好記錄捕獲的詳細(xì)信息（時(shí)間、地點(diǎn)、持續(xù)時(shí)間、網(wǎng)絡(luò)條件）？

了解 ITT-IOTA 更多信息，歡迎前往【艾體寶】官方網(wǎng)站：https://www.itbigtec.com/iota

聯(lián)系艾體寶工程師：TEL：13533491614