РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ

Оглавление

Введение 4

Наблюдение за активностью сети 4

Декодирование и обрабатывание захваченных данных 4

Распределение сессии 4

Обнаружение попыток подключения 4

Настройка сессии захвата пакетов с помощью фильтров 4

Использование отчетов 5

Вывод статистики сети 5

Последующая обработка данных 5

Установка Iris 7

Системные требования 7

Особенности установки 7

Удаление Iris 8

Запуск Iris 8

Использование Iris для наблюдения за активностью сети 9

Запуск Iris 9

Настройка Iris 9

Использование менеджера задач 13

Оптимизация Iris 13

Использование интерфейса пакетов 13

Использование Iris для обнаружения неполадок сети 16

Использование Iris для поиска слов в потоке данных 16

Декодирование и реконструирование захваченных данных 17

Декодирование и реконструирование захваченных данных 17

Меню декодирования 17

Просмотр активности станции 17

Просмотр сессии 18

Просмотр данных сессии 18

Обнаружение попыток подключения 19

Настройки защиты 19

Оповещение защиты 20

Создание фильтров 21

Использование адресной книги в фильтрах 21

Аппаратный фильтр 21

Фильтр уровней 22

Фильтр слов 23

Фильтр MAC-адресов 24

Фильтр IP-адресов 25

Фильтр портов 25

Расширенный фильтр 26

Ведение отчетов активности 28

Включение отчета захвата 28

Включения отчета декодирования 29

Включение отчета охраны 29

Импортирование отчетов Iris 30

Вывод статистики сети 31

Настройка диаграмм 31

Вывод диаграмм распределения протокола 31

Вывод диаграмм станций 32

Вывод диаграмм распределения размеров 33

Вывод диаграмм плотности передачи данных 34

Создание отчета о потоках данных 35

Использование параметров командной строки 37

Приложение А «Часто задаваемые вопросы»

Приложение В «Обзор Сети»

Основы компьютерных сетей

Ethernet

Теория анализа компьютерных сетей

Приложение С «Введение в TPC/IP»

Введение

4 уровня TCP/IP

Сетевой протокол TCP/IP

Приложение D «Глоссарий»

Введение

Iris – универсальная сетевая утилита, призванная помочь сотрудникам информационных технологий в организации и обслуживании компьютерных сетей.

Наблюдение за активностью сети

Iris – программный продукт нового поколения для анализа компьютерных сетей – снабжен графическим интерфейсом (Graphic User Interface - GUI), позволяющий сетевым администраторам захватывать и прослеживать действия любого пользователя сети. Посредством контроля входящего и исходящего сетевого потока данных, Iris по функциональности напоминает Вашего сторожевого пса.

Декодирование и обрабатывание захваченных данных

В дополнение к функциям сниффера, Iris дает Вам возможность обрабатывать все захваченные данные. В декодирующем режиме захваченные данные рассортированы, что позволяет Вам просмотреть любую сессию, так как ее владельцу. Многие протоколы могут быть обработаны подобным образом.

Распределение сессии

TCP использует множественные подключения. Что означает, что в обычной TPC сессии, такой как загрузка Интернет-страницы, запрос создает новое подключение и разрывает его по завершению сессии. Так же TCP основан на сессиях, то есть пока установлено соединение, Вы можете обмениваться данными в рамках сессии, по завершении сессии отправка данных прекращается. Обычно сетевые анализаторы предоставляют Вам возможность просмотреть все пакеты проходящие через TCP. Вы можете просмотреть любой пакет из всей сессии TCP, только подготовленный специалист может определить, что происходит в данной сессии. Iris позволяет сделать больше. Пропуская HTTP поток через декодер, Вы можете увидеть Интернет-страницу целиком. Iris позволяет Вам видеть не только пакеты сессии, но и иметь полное представление о данных, оправленных за сессию.

Обнаружение попыток подключения

Охранные функции Iris наблюдают за подключениями с момента начала сессии и докладывают о всех подключениях нарушающих условия фильтра. Это позволяет отслеживать в подключения к любому и от любого компьютера, и быть оповещенным, если Iris заметит подключение от сомнительного IP-адреса. Вы так же можете использовать звуковые сигналы, предупреждающие о неизвестном подключении.

Настройка сессии захвата пакетов с помощью фильтров

Вы можете создать собственный фильтр, чтобы Iris вел отбор данных в соответствии с Вашими предпочтениями. Даже в средних по размеру сетях, объем данных очень велик, так что Вам будет сложно найти то, что нужно вручную. Iris позволяет сфокусировать внимание только на тех данных, которые удовлетворяют Вашим запросам. Фильтрация пакетов значительно снижает объем работы, который Вам необходимо проделывать, что, в свою очередь, повышает результат работы. Мы рекомендуем начать с простых правил фильтрации и усовершенствовать их до тех пор, пока Вы не найдете необходимые Вам данные.

Например, если Вас интересуют только просмотр данных, которые получает пользователь через браузер, Вы можете установить фильтр на входящий 80 порт, традиционный HTTP порт. Это ограничит просматриваемый поток данных. Но так Вы все равно будете видеть все данные, идущие через 80 порт от всех пользователей. Чтобы видеть данный конкретного пользователя, Вы должны применить второй фильтр. Он должен содержать IP-адрес, соответствующий конкретному пользователю.

Фильтрация может быть простая, или построенная на целом комплексе фильтров. Iris предоставляет широкий выбор технологий фильтрации пакетов, позволяющих фильтровать почти любую часть пакета.

Фильтры могут быть основаны на:

• Аппаратном уровне

• Уровне протоколов

• Ключевых словах

• MAC-адресах

• IP-адресах

• Портах источников и портах назначения

• Произвольных данных и размерах пакета

Все вышеперечисленные функции крайне полезны в сетях с высоким уровнем сетевых данных.

Использование отчетов

Очень просто настроить отчетность для необходимых Вам данных. Настройки отчетности доступны для обоих режимов: Захват и Декодирование. Это позволяет Вам собирать и сохранять данных, которые Iris получил из указанного вами участка сети. Вы даже можете настроить Iris на хранение данных по определенной дате.

Вывод статистики сети

Вы можете вывести статистику в соответствии с протоколом, станцией или распределением размеров.

Последующая обработка данных

Разработчик данных (File Menu => Data Miner) был создан для обработки большого количества захваченных файлов.

Действия (Actions):

• Декодирование файлов (Decode capture files)

Iris воссоздает все сохранные и выбранные TCP сессии. Пакеты не будут загружены в память, что позволяет декодировать большой объем захваченных данных. Перед использованием данной операции убедитесь, что на диске достаточно свободного места. Iris потребует столько же места, сколько занимают захваченные файлы.

• Создание отчетов перемешенных данных (Generate traffic reports)

Iris выдаст сообщение о всех проделанных операциях в сети. Что не приведет к использованию места на жестком диске для захваченных файлов.

• Вывод статистики сетевых данных (Fill traffic stats)

Используйте эту опцию для вывода статистики о большом количестве захваченных файлов. Время завершение операции, размер, протокол и адрес будут отображены. Пакеты не будут загружены и сессии не будут воссозданы.

Источник данных (Select data source):

• Выбрать отдельный файл (Select individual file)

Укажите необходимые файлы. По завершению нажмите «Next»

• Указать адрес (Specify a directory)

Выберите необходимую папку. По завершению нажмите «Next»

Установка Iris

Перед установкой Iris убедитесь, что Ваш компьютер соответствует минимальным системным требованиям, и Вы прочитали главу «»

Системные требования:

• Windows 95/98/NT/2000

• Internet Explorer 4.x и comctl32.dll версии 5.00 или выше. Или Internet Explorer 5.x.

Минимальные требования:

• Pentium 166, 32MB RAM, 1GB HDD

Рекомендованные требования:

• Pentium 400, 128MB, 10 GB HDD

Дополнительно необходимо:

Последние обновления ОС, Internet Explorer, драйвера поддерживающие Ethernet карты.

Особенности установки

«Подглядывание за потоком данных» (sniffing) переводит Ethernet карту в смешанный режим, для того чтобы она могла видеть все проходящие пакеты. При правильном подходе к понимаю структуры Вашей сети, Вы можете установить Iris более оптимально.

COMCTL32.DLL

Для работы Iris необходим COMCTL32.DLL версии 5.0 или выше. Обычно он устанавливается с Internet Explorer 5 или выше, но файл может быть установлен отдельно с указанной ссылки: http://download.microsoft.com/download/platformsdk/Comctl32/5.80.2614.3600/W

9XNT4/EN-US/50comupd.exe

Куда установить Iris в Вашей сети?

Мы приведем несколько общих правил Вам в помощь:

• Устанавливайте Iris на краю сети: чем ближе к краю сети Iris, тем больше информации он может видеть. Например, в большинстве сетей есть маршрутизатор, непосредственно подключенный к коммуникатору, обеспечивающему связь с внешними сетями. В таком случае, с маршрутизатора начинается «край». Наилучшим местом для Iris будет являться сегмент между маршрутизатором и коммуникатором.

• Коммуникаторы (switch) прерывают анализ данных: Iris может видеть только данные сегмента на котором установлен. Некоторые коммуникаторы, как правило, имеют специальные порты, которые позволяют получать данные предназначенные для портов. Эта топология называется шунтирование или администрирование. Коммуникаторы с таким портом позволяют Вам использовать этот порт для просмотра всех остальных.

• Брандмауэр(firewall) и Iris: брандмауэр используется как средство активной защиты Вашей сети от нежелательных видов сетевых данных. Как и маршрутизатор, брандмауэр устанавливается на краю сети. Iris поможет Вам убедится в правильной работе брандмауэра. Установка Iris перед и за брандмауэром позволит Вам видеть данные по обе стороны.

• Преимущества использования хабов (hubs) и Iris: хабы позволяют Iris просматривать данные на всех соединенных хабах. С использование небольшого хаба (необходимо 3 порта) Вы можете видеть сегменты сети даже за коммуникатором. В таком случае один порт хаба используется для анализа сети, остальные подключены соответственно к коммуникатору и «крайнему» пользователю.

Удаление Iris

Из Windows:

1. Нажмите Пуск =>Настройки=>Панель управления

2. Выберите Установка/Удаление Программ

3. Следуйте инструкции для удаления Iris

Запуск Iris

Нажмите Пуск=>Программы=>Iris=>Iris