В этой закладке можно создавать систему предупреждений о
существенных событиях в сети, таких как появление подозрительных
пакетов, повышение сетевой нагрузки, нештатные адреса и так далее.
Предупреждения могут очень помочь, если вам надо отслеживать такие
события в сети, как сканирование портов, появление определенной
последовательности байтов в пакетах, неожиданное подключение новых
устройств.
|
|
|
|
Важно:
предупреждения могут показываться только для тех пакетов, которые
прошли фильтры программы. Если, например, вы сконфигурировали
программу таким образом, что она отсеивает только UDP-пакеты на
основе соответствующего правила, в то время как ваше предупреждение
должно показываться при получении UDP-пакета, то такое
предупреждение никогда не будет показано.
|
|
|
|
|
|
|
|
|
|
Управление предупреждениями осуществляется с помощью показанного
ниже списка:
В каждой строке показано отдельное предупреждение, а флажок рядом с
названием предупреждения показывает, активно оно или нет. При
срабатывании предупреждения флажок сбрасывается. Чтобы повторно
активизировать ожидание сработавшего предупреждения, установите
флажок возле его имени. Для отключения всех предупреждений –
сбросьте флажок
Включить предупреждения.
Чтобы добавить новое, отредактировать или удалить какое-либо
предупреждение, воспользуйтесь кнопками справа от списка. Если вы
хотите использовать оповещение по E-mail, то посредством
опции
Настройка E-mail
введите настройки вашего SMTP-сервера (см. ниже).
Ниже показано окно настройки предупреждений:
В поле
Имя
описывается назначение текущей функции предупреждения. Установите
флажок
Включено,
если требуется активировать предупреждение, которое вы в данный
момент редактируете. Этот флажок совпадает со значением
соответствующей колонки в списке предупреждений. В поле
Тип события
можно выбрать один из семи типов событий:
·Обнаружение
пакета:
Это предупреждение сработает при обнаружении пакета,
соответствующего указанной формуле. Синтаксис формул совпадает с
синтаксисом составных правил и подробно описан в главе
Универсальные
правила.
·Байты
в секунду:
Это предупреждение сработает при превышении указанного уровня
загрузки сети. Значение следует указывать в байтах. Например, если
требуется срабатывание при превышении уровня трафика в 1Mbyte/сек,
укажите порог, равный 1000000.
·Пакеты
в секунду:
Это предупреждение сработает при превышении заданного уровня
частоты передачи пакетов.
·Бродкасты
в секунду:
Это предупреждение сработает при превышении указанного уровня
частоты передачи широковещательных пакетов.
·Мультикасты
в секунду:
Это предупреждение сработает при превышении указанного уровня
частоты передачи многоадресных пакетов.
·CRC-ошибки
в секудну:
Это предупреждение сработает при превышении указанного уровня
частоты возникновения ошибок CRC.
·Retry-пакеты
в секунду:
Это предупреждение сработает при превышении указанного уровня
частоты возникновения Retry-пакетов.
·Неизвестный
MAC-адрес:
Это предупреждение сработает при перехвате программой пакетов с
неизвестными MAC-адресами отправителя либо получателя. Опция
Настройка
позволяет задать список известных адресов. Это предупреждение можно
использовать для обнаружения подключений нового или
несанкционированного оборудования в сеть.
·Неизвестный
IP-адрес:
Это предупреждение сработает при перехвате программой пакетов
с неизвестными IP- и IPv6-адресами отправителя либо получателя.
Опция
Настройка
позволяет задать список известных адресов. Это предупреждение можно
использовать для обнаружения несанкционированных подключений через
корпоративный брандмауэр. Для работы с адресами IPv6 требуется
версия Windows XP или выше, а также установленный протокол
IPv6.
·Неизвестная
точка доступа:
Это предупреждение сработает при получении программой beacon-пакета
от неизвестной точки доступа. В Настройках можно задать MAC-адреса
известных точек доступа. Это предупреждение может быть полезно для
обнаружения неавторизованных точек доступа.
·Сети
Ad Hoc:
Это предупреждение сработает при перехвате программой beacon-пакета
от неизвестной Ad Hoc-станции. Опция
Настройка
позволяет задать список известных MAC-адресов Ad Hoc-станций, если
они есть. Это предупреждение полезно для обнаружения
несанкционированного использования Ad Hoc-сетей.
Поле
Сколько событий нужно для срабатывания
позволяет установить количество событий, которое должно произойти,
чтобы сработало предупреждение. Например, если установить уровень
равный 3, предупреждение не сработает, пока событие не произойдет
трижды. При редактировании уже существующего предупреждения
происходит обнуление внутреннего счетчика событий.
Поле
Кол-во срабатываний
определяет, сколько раз может срабатывать предупреждение, прежде
чем станет неактивным. По умолчанию, эта величина равна 1, и
предупреждение отключится после первого же срабатывания. Увеличив
это число, можно настроить CommView for WiFi на многократные
срабатывания предупреждений. При редактировании уже существующего
предупреждения происходит обнуление внутреннего счетчика
событий.
В поле
Действия
можно выбрать действие, которое будет исполнено при срабатывании
предупреждения. Список возможных действий имеет следующий
вид:
·Показать
сообщение:
появляется сообщение (в немодальном окне) с предварительно
записанным сообщением. Данное действие позволяет использовать
переменные, в которые будут записаны данные из пакета, вызвавшего
срабатывание предупреждения. Ниже приведен список
переменных:
%SMAC% -- MAC-адрес источника.
%DMAC% -- MAC-адрес получателя.
%SIP% -- IP-адрес источника.
%DIP% -- IP-адрес получателя.
%SPORT% -- порт-источник.
%DPORT% -- порт-получатель.
%ETHERPROTO% -- имя Ethernet-протокола.
%IPPROTO% -- имя IP-протокола.
%SIZE% -- размер пакета.
%FILE% -- путь к временному файлу, содержащему захваченный
пакет.
Например, в сообщении "SYN-пакет получен от %SIP%", в появившемся
окне текст %SIP% будет замещен на IP- адрес источника пакета,
вызвавшего срабатывание. Если использовать переменную %FILE%, в
папке временных файлов будет создан файл .NCFX, удаление данного
файла – ответственность вашего обработчика данных. Не используйте
переменные в предупреждениях, срабатывающих по значению
Байт в секунду
или
Пакетов в секунду,
так как они не вызываются каким-либо конкретным пакетом.
·Произнести
сообщение:
дать Windows команду произнести сообщение вслух с помощью
встроенного механизма речевого воспроизведения текста. Если в вашей
версии Windows нет этого механизма, то данная опция будет
недоступна. По умолчанию в состав Windows включен лишь англоязычный
речевой модуль, так что Windows может оказаться не в состоянии
корректно воспроизвести сообщения, введенные не на английском
языке. В тексте сообщения вы можете использовать переменные,
описанные выше для опции
Показать сообщение.
·Звуковой
сигнал:
Проигрывает указанный WAV-файл.
·Запустить
программу:
Запускает указанный EXE- или COM-файл. В поле
Параметры
можно задать параметры командной строки, если они требуются для
запуска приложения. Можно использовать переменные, описанные в
пункте
Показать сообщение,
чтобы передать программе информацию о пакете, вызвавшем
срабатывание предупреждения.
·Послать
E-mail по адресу:
Отправляет E-mail по указанному адресу. ОБЯЗАТЕЛЬНО укажите
SMTP-сервер, которым должен пользоваться CommView for WiFi при
отправке. Для этого нажмите кнопку
Настройка E-mail,
задайте установки SMTP-сервера и отправьте пробное письмо.
Зачастую, оповещения по электронной почте можно использовать для
отправки сообщений на пейджер, в виде SMS на мобильный телефон или
пейджер. Например, чтобы послать сообщение абоненту ICQ, укажите
адрес E-mail в виде ICQ_USER_UIN@pager.icq.com, где ICQ_USER_UIN
ваш номер в системе ICQ, а в свойствах ICQ установите "Разрешить
EmailExpress messages". Подробнее о настройках службы SMS вы можете
узнать у своего сотового оператора. В поле
Добавить текст
можно ввести произвольное сообщения для E-Mail. Вы можете
использовать переменные, описанные в секции
Показать сообщение.
·Включить
правила захвата:
Включает
Универсальные
правила;
укажите названия правил, если требуется несколько правил,
перечислите их названия через запятую (или точку с
запятой).
·Выключить
другие предупреждения:
Выключает ненужные предупреждения; укажите название предупреждения.
Если требуется отключить несколько предупреждений, перечислите их
названия через запятую (или точку с запятой).
·Начать
запись пакетов:
Включает автосохранение (смотрите главу
Ведение
Log-файлов);
CommView for WiFi начнет запись перехваченных пакетов на
диск.
·Завершить
запись пакетов:
Выключает автосохранение.
Нажмите
OK,
чтобы сохранить настройки и закрыть диалог настройки
предупреждений.
Все события, и относящиеся к ним действия, перечисляются в
поле
Запись Событий,
которое находится под списком предупреждений.
|