- PVSM.RU - https://www.pvsm.ru -

Как найти иголку в стоге сена: Точечная фильтрация шума в Wireshark для SOC-аналитиков

Эффективное Устранение Шума: Методы Точечной Фильтрации в Wireshark

Преодоление Информационной Избыточности

При анализе сетевого дампа (PCAP-файла) с активного сегмента сети специалисты неизбежно сталкиваются с проблемой избыточности данных. Как правило, до 90% трафика составляет фоновая служебная активность, которая затрудняет выявление инцидентов и аномалий:

  • Постоянные ARP-запросы (широковещательные запросы на разрешение адресов).

  • Анонсы служб mDNS/SSDP (самообнаружение устройств).

  • Системная телеметрия и фоновые запросы ОС.

Наша цель - не просматривать весь массив пакетов, а использовать точные фильтры отображения (Display Filters) для немедленного выделения целевой активности, такой как подозрительные HTTP-запросы или попытки сканирования.

Решение: Систематический Подход к Фильтрации

Фильтр отображения является основным аналитическим инструментом в Wireshark. Применяя его последовательно, мы можем эффективно отсекать нормативный трафик.

1. Отсечение Служебных Протоколов

Начинаем с исключения протоколов, которые гарантированно генерируют избыточный шум в локальной сети. Для этого используется логический оператор НЕ (!).

Фильтр

Назначение

Комментарий

!arp && !mdns && !ssdp

Устранение трафика ARP, mDNS и SSDP.

Исключает основную массу широковещательного «белого шума».

!llmnr && !icmp

Исключение LLMNR и протокола ICMP.

Снижает количество служебных и диагностических проверок.

!tcp.analysis.duplicate_ack

Отображение только чистого трафика, без повторных подтверждений TCP.

Актуально, если приоритет анализа — не диагностика задержек, а поиск содержимого.
Устранение шума

Устранение шума

2. Фильтрация по Уровням: Идентификация Участников и Действий

Переходим к поиску конкретных событий, используя поля протоколов.

Уровень 3: IP-адреса (Идентификация хоста)

Фильтр

Назначение

ip.addr == 192.168.1.10

Вывод всего трафика, связанного с заданной конечной точкой (входящие и исходящие).

ip.src == 10.0.0.5 && ip.dst == 8.8.8.8

Изоляция коммуникации между двумя указанными IP-адресами.

ip.addr == 192.168.1.0/24

Фильтрация по всей подсети (нотация CIDR).

Уровень 4: Порты (Идентификация службы)

Порты позволяют выявлять нестандартные или целевые сетевые службы.

Фильтр

Назначение

tcp.port in {22 23 3389}

Поиск трафика удаленного доступа (SSH, Telnet, RDP).

tcp.port in {3333 4444 9999}

Выявление нестандартных портов, часто используемых для командно-контрольных (C2) каналов.

Уровень 7: Приложение (Идентификация намерения)

Данный уровень является ключевым для анализа содержимого и намерения.

Фильтр

Назначение

dns.flags.response == 0

Отображение только DNS-запросов (для аудита запрашиваемых доменов).

"dns.qry.name contains ""badsite"""

Идентификация запросов к конкретным подозрительным доменным именам.

http.response.code >= 400

Поиск всех ошибок веб-сервера (коды 4xx, 5xx), указывающих на сканирование или проблемы доступа.

"http.request.method == ""POST"""

Критически важный фильтр. Выявление всех операций передачи данных (логины, файлы, данные форм).

Визуализация и Обход TLS

Проблема TLS/HTTPS (Шифрованный трафик)

Поскольку большинство современного трафика шифруется протоколом TLS/SSL (HTTPS), содержимое пакетов, перехваченных Wireshark, остается недоступным.

Взгляд сквозь шифрование

Взгляд сквозь шифрование

Рекомендации:

  • Констатация факта: Без ключей дешифрования содержимое останется непрочитанным.

  • Анализ метаданных: Фокусировка на открытых полях.

  • Фильтр ssl.handshake.type == 1 изолирует пакет Client Hello, где в открытом виде передается имя сервера, к которому коннектится клиент (SNI). Это позволяет установить цель коммуникации.

Визуальная диагностика: Правила раскраски

Эффективный анализ требует не только фильтрации, но и визуального выделения важных событий.

Маркировка

Маркировка

  • Создайте правило в меню Вид (View) -> Правила раскраски (Coloring Rules).

  • Назначьте правило, например, для поиска SYN-сканирования: tcp.flags.syn==1 && tcp.flags.ack==0.

  • Присвойте этому правилу яркий цвет.

  • Таким образом, подозрительные пакеты будут подсвечены в общем потоке даже без применения фильтра.

Фокусировка на критически важном трафике

При расследовании инцидентов рекомендуется всегда использовать:

  • http.request.method == "POST"

    Охота на POST-запросы

    Охота на POST-запросы

    Этот фильтр изолирует все транзакции, связанные с передачей данных (логины, формы, загрузки). Применив его, вы моментально сократите выборку до критически важных пакетов, которые затем можно изучить детально с помощью функции «Следовать за Потоком» (Follow Stream).

Основной принцип: Максимально устранить служебный трафик (!arp), сфокусироваться на действиях (POST) и использовать визуальные средства для выделения аномалий. Это гарантирует высокую скорость и точность анализа.

Автор: DominaSif

Источник [1]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/seti/437710

Ссылки в тексте:

[1] Источник: https://habr.com/ru/articles/971792/?utm_source=habrahabr&utm_medium=rss&utm_campaign=971792