|
Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
|
|
Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Фильтрация на основе протоколов
Для записи пакетов, передаваемых по сети с использованием конкретного протокола, необходимо указать этот протокол в строке SAP/ETYPE= дерева критериев. Например, для работы только с пакетами протокола IP сначала следует запретить все протоколы, а после этого разрешить IP ETYPE 0x800 и IP SAP 0x6. По умолчанию все поддерживаемые сетевым монитором протоколы разрешены. Протокол можно указать только с помощью ETYPE или SAP. Фильтрация на основе адресов Задайте одну или несколько пар адресов в фильтре записи для сбора данных, посылаемых или получаемых с конкретного компьютера сети. Допускается одновременное наблюдение за четырьмя адресными парами. Адресная пара состоит из:
Независимо от того, в каком порядке располагаются адресные пары в диалоговом окне Фильтр записи, инструкции EXCLUDE обрабатываются первыми. Поэтому, если пакет удовлетворяет критериям, указанным в инструкции EXCLUDE, он будет игнорирован независимо от того, присутствует ли в спецификации фильтра инструкции INCLUDE и EXCLUDE. Сетевой монитор не проверяет, удовлетворяет ли этот пакет условиям инструкций INCLUDE. Например, чтобы записать весь трафик компьютера Comp1 за исключением трафика между компьютерами Comp1 и Comp2, следует указать следующие адресные пары в разделе пар адресов дерева критериев: Addresses include Comp1 < ----> Any exclude Comp1 < ----> Comp2
Если в списке отсутствуют инструкции INCLUDE, то неявно будет использоваться пара локальный_компьютер < ----> любой_компьютер. Фильтрация на основе соответствия шаблону Указывая шаблон для соответствия в фильтре записи, имеется возможность:
При задании фильтра соответствия шаблону необходимо указать место в кадре, откуда должен начаться поиск соответствия шаблону. Эти настройки определяют расстояние в байтах от начала кадра или от конца заголовка топологии до места совпадения шаблона. Если пакеты не имеют постоянной длины (например пакеты протокола MAC в сетях Ethernet или Token Ring), следует указывать смещение от конца заголовка пакета соответствующей топологии. Триггеры записи. После создания триггеров записи сетевой монитор может отвечать на события в сети. По умолчанию условия включения триггера не установлены. Типы триггеров С помощью сетевого монитора можно определить степень заполнения буфера записи и наличие определенного шаблона данных в записанном кадре. Можно создавать триггеры записи на основе одного из этих условий или на основе обоих условий. Если триггер задан на основе определенного шаблона данных в записанном кадре, то сетевой монитор выполнит определенное действие при обнаружении кадра с нужным шаблоном. Шаблон может быть задан шестнадцатеричной строкой или строкой ASCII. Можно задать триггер на основе определенного шаблона данных в записанном кадре и определенного процента заполнения буфера записи. Также можно задать начало поиска для сетевого монитора: с начала каждого кадра, после заголовка каждого кадра или через несколько байт после любого из этих положений. По умолчанию сетевой монитор выполняет поиск по шаблону для всего кадра. Действия триггера Можно выбрать одно из следующих действий триггера, которое будет исполняться при выполнении условий триггера.
Чтобы задать команду, которая запускает программу, введите имя и путь к файлу программы, или нажмите кнопку Обзор и найдите файл программы. Для использования команды MS-DOS, такой как copy, введите CMD /K и затем введите команду. |
Последнее изменение этой страницы: 2019-06-19; Просмотров: 257; Нарушение авторского права страницы