Home
Contents

CommView for WiFi - анализ и мониторинг беспроводных сетей

Prev Page Next Page
 
Введение
О программе CommView for WiFi
Что нового
Работа с программой
Установка драйвера
Обзор
Главное меню
Узлы
Детальная информация по точкам доступа и станциям
Каналы
Текущие IP-соединения
Пакеты
Log-файлы
Просмотр Log-файлов
Правила
Универсальные правила
Предупреждения
Ключи WEP/WPA
Реконструкция TCP-сессий
Реконструкция UDP-потоков
Поиск пакета
Статистика и отчеты
Псевдонимы
Генератор пакетов
Визуальный конструктор пакетов
Производитель NIC
Захват по расписанию
Реассоциация узлов
Работа с CommView Remote Agent for WiFi
Использование RPCAP
Использование Aruba remote capture
Информация о портах
Установка опций
Ответы на вопросы (FAQ)
Анализ VoIP
Введение
Работа с анализатором VoIP
Сессии SIP и H.323
Потоки RTP
Регистрации, станции, ошибки
Log-файлы звонков и отчеты
Воспроизведение звонка
Просмотр VoIP log-файлов
Работа со списками в анализаторе VoIP
Файлы NVF
Дополнительные главы
Мониторинг сетей 802.11n, 802.11ас и 802.11ax
Ошибки CRC и ICV
Расшифровывание WPA
Об уровне сигнала
Захват пакетов A-MPDU и A-MSDU
Использование CommView For WiFi на виртуальной машине
Многоканальный захват
Спектральный анализ
Перехват больших объемов трафика
Невидимый режим
Параметры командной строки
Обмен данными с вашим приложением
Пользовательский модуль декодирования
Формат Log-файлов CommView
Информация
Как купить CommView for WiFi

Предупреждения

В этой закладке можно создавать систему предупреждений о существенных событиях в сети, таких как появление подозрительных пакетов, повышение сетевой нагрузки, нештатные адреса и так далее. Предупреждения могут очень помочь, если вам надо отслеживать такие события в сети, как сканирование портов, появление определенной последовательности байтов в пакетах, неожиданное подключение новых устройств.

Важно: предупреждения могут показываться только для тех пакетов, которые прошли фильтры программы. Если, например, вы сконфигурировали программу таким образом, что она отсеивает только UDP-пакеты на основе соответствующего правила, в то время как ваше предупреждение должно показываться при получении UDP-пакета, то такое предупреждение никогда не будет показано.

Управление предупреждениями осуществляется с помощью показанного ниже списка:

Alarms list

В каждой строке показано отдельное предупреждение, а флажок рядом с названием предупреждения показывает, активно оно или нет. При срабатывании предупреждения флажок сбрасывается. Чтобы повторно активизировать ожидание сработавшего предупреждения, установите флажок возле его имени. Для отключения всех предупреждений – сбросьте флажок Включить предупреждения. Чтобы добавить новое, отредактировать или удалить какое-либо предупреждение, воспользуйтесь кнопками справа от списка. Если вы хотите использовать оповещение по E-mail, то посредством опции Настройка E-mail введите настройки вашего SMTP-сервера (см. ниже).

Ниже показано окно настройки предупреждений:

Alarms setup

В поле Имя описывается назначение текущей функции предупреждения. Установите флажок Включено, если требуется активировать предупреждение, которое вы в данный момент редактируете. Этот флажок совпадает со значением соответствующей колонки в списке предупреждений. В поле Тип события можно выбрать один из семи типов событий:

·Обнаружение пакета: Это предупреждение сработает при обнаружении пакета, соответствующего указанной формуле. Синтаксис формул совпадает с синтаксисом составных правил и подробно описан в главе Универсальные правила.

·Байты в секунду: Это предупреждение сработает при превышении указанного уровня загрузки сети. Значение следует указывать в байтах. Например, если требуется срабатывание при превышении уровня трафика в 1Mbyte/сек, укажите порог, равный 1000000.

·Пакеты в секунду: Это предупреждение сработает при превышении заданного уровня частоты передачи пакетов.

·Бродкасты в секунду: Это предупреждение сработает при превышении указанного уровня частоты передачи широковещательных пакетов.

·Мультикасты в секунду: Это предупреждение сработает при превышении указанного уровня частоты передачи многоадресных пакетов.

·CRC-ошибки в секудну: Это предупреждение сработает при превышении указанного уровня частоты возникновения ошибок CRC.

·Retry-пакеты в секунду: Это предупреждение сработает при превышении указанного уровня частоты возникновения Retry-пакетов.

·Неизвестный MAC-адрес: Это предупреждение сработает при перехвате программой пакетов с неизвестными MAC-адресами отправителя либо получателя. Опция Настройка позволяет задать список известных адресов. Это предупреждение можно использовать для обнаружения подключений нового или несанкционированного оборудования в сеть.

·Неизвестный IP-адрес: Это предупреждение сработает при перехвате  программой пакетов с неизвестными IP- и IPv6-адресами отправителя либо получателя. Опция Настройка позволяет задать список известных адресов. Это предупреждение можно использовать для обнаружения несанкционированных подключений через корпоративный брандмауэр. Для работы с адресами IPv6 требуется версия Windows XP или выше, а также установленный протокол IPv6.

·Неизвестная точка доступа: Это предупреждение сработает при получении программой beacon-пакета от неизвестной точки доступа. В Настройках можно задать MAC-адреса известных точек доступа. Это предупреждение может быть полезно для обнаружения неавторизованных точек доступа.

·Сети Ad Hoc: Это предупреждение сработает при перехвате программой beacon-пакета от неизвестной Ad Hoc-станции. Опция Настройка позволяет задать список известных MAC-адресов Ad Hoc-станций, если они есть. Это предупреждение полезно для обнаружения несанкционированного использования Ad Hoc-сетей.

Поле Сколько событий нужно для срабатывания позволяет установить количество событий, которое должно произойти, чтобы сработало предупреждение. Например, если установить уровень равный 3, предупреждение не сработает, пока событие не произойдет трижды. При редактировании уже существующего предупреждения происходит обнуление внутреннего счетчика событий.

Поле Кол-во срабатываний определяет, сколько раз может срабатывать предупреждение, прежде чем станет неактивным. По умолчанию, эта величина равна 1, и предупреждение отключится после первого же срабатывания. Увеличив это число, можно настроить CommView for WiFi на многократные срабатывания предупреждений. При редактировании уже существующего предупреждения происходит обнуление внутреннего счетчика событий.

В поле Действия можно выбрать действие, которое будет исполнено при срабатывании предупреждения. Список возможных действий имеет следующий вид:

·Показать сообщение: появляется сообщение (в немодальном окне) с предварительно записанным сообщением. Данное действие позволяет использовать переменные, в которые будут записаны данные из пакета, вызвавшего срабатывание предупреждения. Ниже приведен список переменных:

%SMAC% -- MAC-адрес источника.

%DMAC% -- MAC-адрес получателя.

%SIP% -- IP-адрес источника.

%DIP% -- IP-адрес получателя.

%SPORT% -- порт-источник.

%DPORT% -- порт-получатель.

%ETHERPROTO% -- имя Ethernet-протокола.

%IPPROTO% -- имя IP-протокола.

%SIZE% -- размер пакета.

%FILE% -- путь к временному файлу, содержащему захваченный пакет.

Например, в сообщении "SYN-пакет получен от %SIP%", в появившемся окне текст %SIP% будет замещен на IP- адрес источника пакета, вызвавшего срабатывание. Если использовать переменную %FILE%, в папке временных файлов будет создан файл .NCFX, удаление данного файла – ответственность вашего обработчика данных. Не используйте переменные в предупреждениях, срабатывающих по значению Байт в секунду или Пакетов в секунду, так как они не вызываются каким-либо конкретным пакетом.

·Произнести сообщение: дать Windows команду произнести сообщение вслух с помощью встроенного механизма речевого воспроизведения текста. Если в вашей версии Windows нет этого механизма, то данная опция будет недоступна. По умолчанию в состав Windows включен лишь англоязычный речевой модуль, так что Windows может оказаться не в состоянии корректно воспроизвести сообщения, введенные не на английском языке. В тексте сообщения вы можете использовать переменные, описанные выше для опции Показать сообщение.

·Звуковой сигнал: Проигрывает указанный WAV-файл.

·Запустить программу: Запускает указанный EXE- или COM-файл. В поле Параметры можно задать параметры командной строки, если они требуются для запуска приложения. Можно использовать переменные, описанные в пункте Показать сообщение, чтобы передать программе информацию о пакете, вызвавшем срабатывание предупреждения.

·Послать E-mail по адресу: Отправляет E-mail по указанному адресу. ОБЯЗАТЕЛЬНО укажите SMTP-сервер, которым должен пользоваться CommView for WiFi при отправке. Для этого нажмите кнопку Настройка E-mail, задайте установки SMTP-сервера и отправьте пробное письмо. Зачастую, оповещения по электронной почте можно использовать для отправки сообщений на пейджер, в виде SMS на мобильный телефон или пейджер. Например, чтобы послать сообщение абоненту ICQ, укажите адрес E-mail в виде ICQ_USER_UIN@pager.icq.com, где ICQ_USER_UIN ваш номер в системе ICQ, а в свойствах ICQ установите "Разрешить EmailExpress messages". Подробнее о настройках службы SMS вы можете узнать у своего сотового оператора. В поле Добавить текст можно ввести произвольное сообщения для E-Mail. Вы можете использовать переменные, описанные в секции Показать сообщение.

·Включить правила захвата: Включает Универсальные правила; укажите названия правил, если требуется несколько правил, перечислите их названия через запятую (или точку с запятой).

·Выключить другие предупреждения: Выключает ненужные предупреждения; укажите название предупреждения. Если требуется отключить несколько предупреждений, перечислите их названия через запятую (или точку с запятой).

·Начать запись пакетов: Включает автосохранение (смотрите главу Ведение Log-файлов); CommView for WiFi начнет запись перехваченных пакетов на диск.

·Завершить запись пакетов: Выключает автосохранение.

Нажмите OK, чтобы сохранить настройки и закрыть диалог настройки предупреждений.

Все события, и относящиеся к ним действия, перечисляются в поле Запись Событий, которое находится под списком предупреждений.