每周总结

网络数据包分析

本周学习内容：（2017/7/7）

• 1、 数据包是什么？：一个完整的协议数据单元；
• 2、 wiresharp基本用法（怎样捕获数据包，过滤自己所需要数据包）；
• 3、 TCP协议数据包的基本分析（建立连接和断开连接）；
• 4、 ARP数据包的基本分析；
• 5、 IP协议数据包的基本分析（IP分片）；
• 6、 UDP协议数据包的基本分析；
• 7、 ICMP协议数据包的基本分析；

下周学习内容：

• 常见高层网络分析和其他的东西

本周学习内容：(2017/7/14)

• 1、Linux 下libcap的一些简单使用；
• 2、用代码解析数据包
  
  • 1)获取适配器列表，捕获数据包；
  • 2)从以太网协议到IP协议再到TCP、UDP协议的分析；
  • 3)ARP协议的分析
  • 4)DNS的分析；

本周学习内容：(2017/7/21)
1、 DNS数据包分析；
2、 简单了解TCP重组的原理；
下周学习内容：
TCP重组具体分析；

本周学习内容 (2017/7/26)
TCP流重组的分析；
下周学习内容：
TCP流重组分析

本周学习内容(2017/8/4)
TCP流的重组的完善；
TCP会话超时问题；
了解Windows下c++多线程。
下周学习内容
学习哈希表及哈希表在TCP会话中的应用。

本周完成：
1、 TCP零窗口，窗口偏低分析
分析每个数据包的Windows size，若Windows size为0，则为零窗口。
若窗口大小大于零，小于某阈值，则判断为窗口偏低。
2、TCP窗口阻塞分析
分别判断上下行数据包的窗口大小是否小于某阈值且连续几个包的窗口大小相同，则判断为阻塞。
3、 TCP窗口溢出
每个数据包可接收的数据包范围为Ack到Ack+Seq，若下一个数据包的Seq+len大于Ack+Seq，则说明窗口溢出。
下周计划：
1、 对窗口阻塞和窗口溢出部分代码测试。
2、 TCP专家事件其他部分的分析。

本周完成：2017/11/2
1、 TCP窗口更新代码的编写及测试
当该数据包的ack与上一数据包的ack相同，且该数据包的windows size大于上一数据包的windows size
2、 TCP分析代码的整合和测试
3、 DNS分析专家事件的分析
1） DNS响应慢
2） DNS无响应
3） DNS错误
下周计划：
1、 TCP部分代码的测试
2、 SACK对于TCP专家事件的影响
3、 DNS部分其余专家事件的分析

本周完成：
1、 IP协议专家事件的代码分析
2、 IP分片最后一个分片包丢失的判断。
下周计划：
1、 IP部分性能测试及改进
2、 SMTP协议的分析。

本周完成：
1、 SMTP（简单邮件传输协议）专家事件分析
1） 命令与响应包之间响应慢或命令无响应。
2） 数据传输确认慢
下周计划：
1、 SMTP专家事件完善。

本周完成：
1、 SMTP（简单邮件传输协议）专家事件分析
a) 邮件传输速率
b) 命令确认慢
下周计划：
1、 邮件具体内容分析
a) 收件人、发件人、主题、附件传输个数等信息的提取。

本周完成：
1、 SMTP（简单邮件传输协议）专家事件分析
1) 邮件传输速率
2) 命令确认慢
下周计划：
1、 邮件具体内容分析
1) 收件人、发件人、主题、附件传输个数等信息的提取。

本周完成：(2017/12/22)
1、 SMTP数据内容的存放规律及附件分析
2、 关于邮件发送的收件人，发件人，主题，附件数量及名称等信息的提取
3、 SMTP部分代码测试及修改
下周计划：
1、 SMTP分析后续测试、修改
2、 其余专家事件及功能的分析。

本周完成：
1、 完成PF_RING抓包程序并将数据包保存为pcap文件，测试无误
2、 IP协议专家事件遗留问题代码修改
下周计划：
1、 PF_RING抓包程序性能测试
2、 根据最终数据库结构修改协议分析程序
3、 故障分析案例学习

本周完成：2018/01/19
1、 PF_RING 抓包程序性能测试
2、 DICOM协议的了解与字段分析
医学图像和通信协议，共有7种PDU（协议数据单元），不同PDU对应的报文格式不同
3、 ASTM协议的了解，但没有找到适合的资料
下周计划：
1、 ASTM协议更多资料的查找与学习
2、 根据安排完成后续工作
3、 故障分析案例学习

本周完成：20180126
1、 ASTM协议传输过程及报文格式的了解
2、 业务性能关联方案的提出，但由于时间原因未与师兄交流
3、 Wireshark中TCP流图形的了解（主要是时间/序列（Stevens）与时间/序列（tcptrace））的不同之处
下周计划：
1、 HTTP、DNS报表数据添加
2、 对整个业务的测试

数据包分析项目总结

总结报告
内容：
1、 TCP校验和错误、协商MSS过小、零窗口、窗口偏低、窗口阻塞、窗 口溢出、窗口更新部分代码编写
2、 HTTP、DNS、IP、SMTP部分专家事件代码编写及性能测试
3、 PF_RING抓包程序编写
4、 对医疗协议DICOM、ASTM的报文格式的了解
5、 TCP流图形理解
收获：
1、 对IP、DNS、HTTP、TCP、SMTP的专家事件有更清晰、系统的了解，尤其是TCP部分，对重传、窗口部分的理解以及相同会话间各关键值的关联。
2、 对STL应用更加熟练，在会话及字段的关联中多次使用，使对STL的应用有了深一步的了解。
3、 对PF_RINF抓包有了一定的了解，学会用PF_RING抓包，以及对PCAP文件格式的编写。
4、 对wireshark工具的使用更加熟练，如数据包分割，TCP流图形的意义等。
计划：
1、 未添加协议的专家事件代码编写及修改
2、 关于业务关联的思考
3、 对故障分析案例及基础知识的学习

本周完成：
1、HTTP、DNS部分代码编写
2、Bro网络安全监视器的安装及运行自带脚本
下周计划：
1、继续对Bro进行学习
2、网络流量异常检测及网络业务关联的资料查阅

本周完成：
1、 对网络流量异常检测的资料查询，初步了解了流量异常类别，检测范围等基本信息。
2、 对网络流量数据采集方法资料查询：基于流的数据采集方法和基于包的数据采集方法，对两种方法做了了解。
下周计划：
1、 继续对两种数据采集方式进行学习
2、 学习一些流量异常的实例

本周学习：
1、 基于流的数据采集和基于包的数据采集的对比，论文得出结论：基于包的数据采集优势更多
2、 利用tracert命令，捕获icmp数据包，对之前icmp部分的代码进行测试。
3、 网络分析案例的学习，同时了解了mac地址的分类（单播，组播，广播）和http的重定向。
下周计划：
1、 对网络分析和网络安全部分的案例继续学习及学习一些遇到的基础知识

本周学习：
1、异常流量检测方法的分类：概率统计，贝叶斯公式，神经分析，机器学习等，对这些方法初步了解。
2、了解了KDD99这个数据集中关于网络入侵检测的一些定义
3、结合网上network的资料对常见异常流量的基本特征做出总结，但准确性待定。
4、学习网络安全方面的案例
下周计划：
1、周六晚前对DNS异常行为做出总结
2、对异常流量如何检测争取有一个确定的方案模型

本周学习：
1、 基于流量的隐蔽信道检测中关于DNS隧道特征总结
2、 对DNS异常行为特征总结和识别流程图的修改、细化。
3、 学习网络安全案例中关于DNS泛解析存在的风险和DNS解析被恶意修改的内容和相关特征
下周计划：
1、 对DNS其他异常行为的补充，对他们的特征进行总结，丰富流程图。
2、 学习网络安全的相关案例

本周学习：
1、 基于流量的隐蔽信道检测中关于DNS隧道特征总结
2、 对DNS异常行为特征总结和识别流程图的修改、细化。
3、 学习网络安全案例中关于DNS泛解析存在的风险和DNS解析被恶意修改的内容和相关特征
下周计划：
1、 对DNS其他异常行为的补充，对他们的特征进行总结，丰富流程图。
2、 学习网络安全的相关案例

本周学习：
1、 DNS异常识别代码编写
2、 新增DNS隧道的异常特征
下周计划：
1、 将代码整合到项目文件中，继续补充关于DNS隧道的特征。
2、 学习网络安全的案例。