Файловый архив студентов. Файловый архив студентов.
1264 вуза, 4626 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный университет аэрокосмического приборостроения
Предмет:
Администрирование информационных систем
Файл:
Администрирование в ИС / Iris.doc
Скачиваний:
94
Добавлен:
02.04.2015
Размер:
543.23 Кб
Скачать
►Содержание►

Фильтры аппаратного обеспечения

Promiscuous Выбор этого фильтра заставляет Iris собирать все пакеты текущего сетевого сегмента. Это настройка по умолчанию.

Directed Ведется сбор только тех пакетов, которые отправлены непосредственно на данный сетевой адаптер.

Multicast Сбор широковещаемых (со списком получателей) пакетов.

All multicast Сбор всех широковещаемых (со списком получателей) пакетов. Включая пакеты в списке получателей которых не значится данный адрес.

Broadcast Сбор всех широковещаемых пакетов (отправленный на MAC адрес FF:FF:FF:FF:FF:FF)

 

Примечание: Настоятельно рекомендуется использовать фильтр Promiscuous для получения наиболее полной информации.

Уровень 2,3

Используйте этот фильтр для фильтрации пакетов по их типу (уровень 2) и, если это IP-пакеты, то по их подтипу (уровень 3)

Выбор протокола из уровня 3 влечет за собой автоматический выбор IP-пакетов из списка 2 уровня.

Режим     Include  - собираться будут только пакеты выделенного типа.     Exclude -  собираться будут только пакеты не выделенного типа.

Определение протоколов

Все типы могут быть определены путем редактирования файла proto.dat, который находится в директории Iris.  Для уровня 2 - редактировать раздел [PROTOCOL], для уровня 3 - [IP PROTOCOL].

Возможно как добавление новых типов, так и редактирование уже имеющихся.

Пример: (взят из файла proto.dat) 01 _ICMP [Internet Control Message] 02 _IGMP [Internet Group Management] 03  GGP [Gateway-to-Gateway]

Записи уровня 2 могут быть диапазоном. Пример: 1001-100F Berkeley Trainer Все значения 1001,1002,1003...100F будут распознаны как Berkeley Trainer.

Текст

Этот фильтр может обрабатывать пакеты содержащие определенные строки. Фильтр нечувствителен к регистру.

Вы можете составлять логические выражения, используя кнопки AND или OR.

Apply filter to packets:  Режим, при котором собираютя только пакеты удовлетворяющие правилам фильтрации.

Mark sessions containing words: Режим, при котором пакеты удовлетворяющие правилам фильтрации отмечаются в Декодере.

Например если мы хотим просмотреть пакеты содержашие комбинацию слов "secret" и "project" нам нужно создать такое правило:

После сбора данных в Декодере мы увидим:

Знак ! означает что "dexter" отправил или принял данные содержащие как "secret" так и "project" по HTTP (порт 80). Кликнув по отмеченному пакету можно просмотреть данные слова:

Mac адреса

Этот фильтр позволяет отслеживать пакеты предназначенные адресам конкретных устройст называемых MAC (Media Access Control) адреса.

См. фильтр Адреса.

Верхний блок включает адреса уже известные Iris (содержащиеся в Адресной книге)

Mode     Include  - собираются только удовлетворяющие условию фильтрации пакеты.     Exclude -  пакеты удовлетворяющие условию фильтрации исключаются.

Ip адреса

Этот фильтр позволяет отслеживать пакеты предназначенные определенным IP-адресам (или отправленные с определенных IP-адресов).

См. фильтр Адреса.

Верхний блок включает адреса уже известные Iris (содержащиеся в Адресной книге)

Mode     Include  - собираются только удовлетворяющие условию фильтрации пакеты.     Exclude -  пакеты удовлетворяющие условию фильтрации исключаются.

Соседние файлы в папке Администрирование в ИС
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности