Примеры конфигурации MATE в Wireshark

MATE расшифровывается как Meta Analysis and Tracing Engine. Это плагин Wireshark, который позволяет пользователю определять отношения между различными фреймами. Для этого MATE собирает данные из дерева кадров, а затем пытается упорядочить кадры в соответствии с настройками MATE. Когда PDU подключены, MATE построит дерево «протокола» с фильтруемыми полями. Поскольку поля почти идентичны для всех подключенных фреймов, можно фильтровать сеанс, который охватывает несколько фреймов и множество протоколов, на основе свойства, которое появляется в связанном фрейме. Кроме того, MATE позволяет фильтровать кадры в зависимости от времени реакции, количества pdus в группе и многих других факторов. Основная цель MATE — использовать разные протоколы и фильтровать каждый пакет вызова, зная только номер вызывающего абонента. Другое дело — использование разных протоколов, фильтрация всех пакетов от всех вызовов по причине освобождения одного из их «сегментов». Он также распространяет особенно «плотные» захваты на вялые транзакции (поиск запрашивает тайм-аут). Это позволяет найти ожидающие транзакции (нет ответов). Если есть такое требование по перенаправлению запросов, то оно осуществляется через дополнительные шлюзы и прокси.

Примеры конфигурации MATE:

Примеры различных конфигураций для MATE перечислены ниже. Поскольку средство «разговоров» работает лучше, многие из них бесполезны. В любом случае они предназначены для помощи пользователям в понимании конфигурации MATE.

• Сеанс TCP: В следующем примере каждый сеанс TCP превращается в GoP.

Pdu tcp_pdu Proto tcp Transport ip {
    Extract addr From ip.addr;
    Extract port From tcp.port;
    Extract tcp_start From tcp.flags.syn;
    Extract tcp_stop From tcp.flags.reset;
    Extract tcp_stop From tcp.flags.fin;
};

Gop tcp_ses On tcp_pdu Match (addr, addr, port, port) {
    Start (tcp_start=1);
    Stop (tcp_stop=1);
};

Done;

В 99,9% случаев это должно работать нормально, однако, если они пересекаются во времени, 10.0.0.1:20–10.0.0.2:22 и 10.0.0.1:22–10.0.0.2:20 оба попадут в тот же ГОП.

--When filtering with mate.tcp ses.Time > 1, 
all sessions lasting less than one second are returned. 
--When filtering with mate.tcp ses.NumOfPdus 5, 
all tcp sessions with fewer than five packets are displayed.
--All the packets for the third TCP session MATE 
has discovered will be displayed if the
 filter is set to mate. tcp ses.Id == 3.

• Gog для полного FTP-сеанса. В этой конфигурации полный пассивный FTP-сеанс, включая передачу данных, можно привязать к одному Gog. Примечательно, что эта конфигурация создает одну группу GOP для каждого пакета данных FTP, а не для каждой передачи, потому что между пакетами данных FTP нет различий.
• Использование RADIUS для фильтрации SMTP-трафика конкретного пользователя. Во многих странах слежка за людьми запрещена, поскольку это аморально. При наличии уважительной причины такой работой должна заниматься полиция. Пакеты Radius и SMTP-трафик для «пользователя» будут отфильтрованы, если файл захвата отфильтрован с выражением mate.user_mail.username == «theuser».
• Вызовы H323: с этой настройкой каждый вызов будет приводить к Gog. Это позволяет нам:

--filter all signaling for a specific caller
: mate.call.caller == "123456789"
--filter all signaling for calls with a 
specific release cause: mate.call.q931_cause == 31
--filter all signaling for brief calls
: mate.q931_leg.Time < 5

• MMS: В этом случае каждый элемент передачи или приема MMS будет подключен к одному Gog. Поскольку распространение MMS использует MMSE через HTTP или WSP. GOP формируется из HTTP Pdus, но данные MMSE должны быть удалены из тел, поскольку невозможно связать запрос извлечения и ответ, используя только MMSE (запрос представляет собой просто HTTP GET без какого-либо MMSE).