Home
Contents

CommView - Мониторинг и анализ сети
Prev Page Next Page
 
Введение
О программе CommView
Что нового
Работа с программой
Краткий обзор
Выбор сетевого адаптера для работы
Текущие IP-соединения
Пакеты
Log-файлы
Просмотр Log-файлов
Правила
Универсальные правила
Предупреждения
Реконструкция TCP-сессий
Реконструкция UDP-потоков
Поиск пакетов
Статистика и отчёты
Использование псевдонимов (алиасов)
Генератор пакетов
Визуальный конструктор пакетов
Определение изготовителя NIC
Захват по расписанию
Удаленный мониторинг (Remote Agent)
Использование RPCAP
Сбор расшифрованного SSL-трафика
Сбор трафика на логическом адаптере обратной связи (loopback)
Информация о портах
Установка опций
Часто задаваемые вопросы (FAQ)
Анализ VoIP
Введение
Работа с анализатором VoIP
Сессии SIP and H.323
Потоки RTP
Регистрации
Станции
Ошибки
Log-файлы звонков
Отчет
Воспроизведение звонка
Просмотр VoIP log-файлов
Работа со списками в анализаторе VoIP
Файлы NVF
Дополнительные возможности
Перехват больших объемов трафика
Запуск нескольких копий программы
Невидимый режим
Параметры командной строки
Обмен данными с вашим приложением
Пользовательский модуль декодирования
Формат Log-файлов CommView
Покупка и поддержка

Правила

Эта закладка позволяет устанавливать правила перехвата пакетов. Если какие либо правила установлены, то программа фильтрует пакеты и накапливает только те пакеты, которые соответствуют заданным критериям (правилам). Обратите внимание, CommView не брандмауэр и, когда вы задаёте правила, пакеты продолжают обрабатываться операционной системой, они лишь не отображаются и не сохраняются программой. Если правила установлены, то название соответствующей закладки отображается жирным шрифтом.

Используя команду меню Правила, можно сохранять настройки правил в файле и загружать их, когда потребуется.

Так как сетевой трафик часто может создавать большое количество пакетов, рекомендуется использовать правила для фильтрации ненужных пакетов. Это может значительно снизить объём системных ресурсов, используемых программой. Если вы хотите включить/выключить какое-либо правило, выберите соответствующий раздел с левой стороны окна (например, IP-Адреса Порты). Затем установите или снимите соответствующий флажок - Включить правила для IP-адресов или Включить правила для портов. Существует семь типов правил:

Протоколы и направление

Позволяет игнорировать или перехватывать пакеты, основываясь на протоколах 2-го (Ethernet) и 3-го (IP) уровней, а также на направлениях пакетов.

rules

В этом примере показано, как перехватывать только входящие и исходящие пакеты ICMP и UDP. Все остальные пакеты семейства IP, а также транзитные, будут проигнорированы.

MAC-адреса

Позволяет игнорировать или перехватывать пакеты, основываясь на аппаратных MAC-адресах. Введите MAC-адрес в поле Добавить запись, выберите направление: В направлении к… , В направлении от…  или В любом направлении. Затем и нажмите Добавить MAC-адрес и новое правило будет отображено. Далее следует выбрать действие, которое будет совершено при обработке нового пакета: он может быть либо перехвачен, либо проигнорирован.

Список IP-алиасов можно получить, нажав на кнопку MAC-псевдонимы. Чтобы показать соответствующий MAC-адрес, следует выбрать нужный IP-алиас из списка.

macrules

В этом примере показано, как игнорировать пакеты, идущие от 0A:DE:34:0F:23:3E. Пакеты с других MAC-адресов будут перехватываться программой.

IP-адреса

Позволяет игнорировать или перехватывать пакеты, основываясь на IP-адресах. Введите IP- или IPv6-адрес в поле Добавить запись, выберите направление: В направлении к… , В направлении от…  или В любом направлении. Затем нажмите Добавить IP-адрес и новое правило будет отображено. Далее следует выбрать действие, которое будет совершено при обработке нового пакета: он может быть либо перехвачен, либо проигнорирован.

Список IP-алиасов можно получить, нажав на кнопку MAC-псевдонимы. Чтобы показать соответствующий MAC-адрес, следует выбрать нужный IP-алиас из списка.

iprules

В этом примере показано, как накапливать пакеты, идущие к 63.34.55.66, идущие к/от 207.25.16.11 и идущие со всех адресов в диапазоне 194.154.0.0 -:- 194.154.255.255. Все пакеты, идущие с/на другие адреса будут проигнорированы. Так как IP-адреса используются в IP-протоколе, такая конфигурация заставит программу игнорировать все пакеты, не принадлежащие к IP. Для работы с адресами IPv6 требуется версия Windows XP или выше, а также установленный протокол IPv6.

Порты

Позволяет игнорировать или перехватывать пакеты, основываясь на номерах портов. Введите номер порта в поле Добавить запись, выберите направление: В направлении к… , В направлении от…  или В любом направлении. Затем нажмите Добавить порт и новое правило будет отображено. Далее следует выбрать действие, которое будет совершено при обработке нового пакета: он может быть либо перехвачен, либо проигнорирован.

Чтобы добавить порт в список, дважды щёлкните мышью по его номеру. Порты также можно добавлять с использованием из символьных имен, например, http или pop3, а программа затем преобразует введенные значения в численные.

iprules

В этом примере показано, как игнорировать пакеты, идущие из порта 80 и идущие из/в порт 137. Это правило позволит  CommView игнорировать входящий HTTP-трафик наряду с входящим/исходящим трафиком NetBIOS Name Service. Пакеты, проходящие между портами, будут перехвачены.

TCP-флаги

Позволяет игнорировать или перехватывать пакеты, основываясь на TCP-флагах. Выберите флаг или комбинацию флагов в поле Добавить запись и нажмите Добавить флаги. Новое правило будет отображено. Далее следует выбрать действие, которое будет совершено при обработке нового пакета: он может быть либо перехвачен, либо проигнорирован.

tcprules

В этом примере показано, как игнорировать TCP-пакеты с установленными флагами PSH и ACK. Пакеты с другими флагами  будут перехвачены.

Текст

Позволяет перехватывать пакеты, содержащие определённый текст. Введите строку в поле Добавить запись и нажмите Добавить текст. Новое правило будет отображено. Далее следует выбрать действие, которое будет совершено при обработке нового пакета: он может быть либо перехвачен, либо проигнорирован.

textrules

В этом примере показано, как перехватывать только те пакеты, которые содержат текст  "GET". При необходимости установите флажок С учётом регистра, если вы хотите сделать правила регистрозависимыми. Выберите опции UTF8 или UTF16, если вы хотите, чтобы перехватывались пакеты с текстом только в соответствующей кодировке. Все остальные пакеты, не содержащие вышеуказанного текста, будут игнорированы. Если вы хотите создать правило, основанное на hex-последовательности байтов, когда строку нельзя напечатать (например, 0x010203), используйте Универсальные правила.

Процесс

Позволяет перехватывать пакеты, базируясь на имени процесса. Введите имя процесса в область Действие и нажмите Добавить имя процесса. Новое правило будет показано. Теперь вы можете выбрать действие, которое будет совершаться при обработке нового пакета: пакет может быть захвачен или пропущен. Вы также можете ввести лишь часть названия процесса, и в правило будет включен каждый процесс, в имени которого будет содержаться такая подстрока. Имена процессов регистронезависимы.

processrules

В данном примере показано, как принимать пакеты, принятые или переданные процессом netscp.exe. Пакеты, посланные другими процессами, будут пропущены.

Универсальные правила

Универсальные правила являются мощным и гибким механизмом создания фильтров с помощью булевой логики.