Введение. Iris – универсальная сетевая утилита, призванная помочь сотрудникам информационных технологий в организации и обслуживании компьютерных сетей.

Iris – универсальная сетевая утилита, призванная помочь сотрудникам информационных технологий в организации и обслуживании компьютерных сетей.

 

Наблюдение за активностью сети

 

Iris – программный продукт нового поколения для анализа компьютерных сетей – снабжен графическим интерфейсом (Graphic User Interface - GUI), позволяющий сетевым администраторам захватывать и прослеживать действия любого пользователя сети. Посредством контроля входящего и исходящего сетевого потока данных, Iris по функциональности напоминает Вашего сторожевого пса.

 

Декодирование и обрабатывание захваченных данных

 

В дополнение к функциям сниффера, Iris дает Вам возможность обрабатывать все захваченные данные. В декодирующем режиме захваченные данные рассортированы, что позволяет Вам просмотреть любую сессию, так как ее владельцу. Многие протоколы могут быть обработаны подобным образом.

 

Распределение сессии

 

TCP использует множественные подключения. Что означает, что в обычной TPC сессии, такой как загрузка Интернет-страницы, запрос создает новое подключение и разрывает его по завершению сессии. Так же TCP основан на сессиях, то есть пока установлено соединение, Вы можете обмениваться данными в рамках сессии, по завершении сессии отправка данных прекращается. Обычно сетевые анализаторы предоставляют Вам возможность просмотреть все пакеты проходящие через TCP. Вы можете просмотреть любой пакет из всей сессии TCP, только подготовленный специалист может определить, что происходит в данной сессии. Iris позволяет сделать больше. Пропуская HTTP поток через декодер, Вы можете увидеть Интернет-страницу целиком. Iris позволяет Вам видеть не только пакеты сессии, но и иметь полное представление о данных, оправленных за сессию.

 

Обнаружение попыток подключения

 

Охранные функции Iris наблюдают за подключениями с момента начала сессии и докладывают о всех подключениях нарушающих условия фильтра. Это позволяет отслеживать в подключения к любому и от любого компьютера, и быть оповещенным, если Iris заметит подключение от сомнительного IP-адреса. Вы так же можете использовать звуковые сигналы, предупреждающие о неизвестном подключении.

 

Настройка сессии захвата пакетов с помощью фильтров

Вы можете создать собственный фильтр, чтобы Iris вел отбор данных в соответствии с Вашими предпочтениями. Даже в средних по размеру сетях, объем данных очень велик, так что Вам будет сложно найти то, что нужно вручную. Iris позволяет сфокусировать внимание только на тех данных, которые удовлетворяют Вашим запросам. Фильтрация пакетов значительно снижает объем работы, который Вам необходимо проделывать, что, в свою очередь, повышает результат работы. Мы рекомендуем начать с простых правил фильтрации и усовершенствовать их до тех пор, пока Вы не найдете необходимые Вам данные.

Например, если Вас интересуют только просмотр данных, которые получает пользователь через браузер, Вы можете установить фильтр на входящий 80 порт, традиционный HTTP порт. Это ограничит просматриваемый поток данных. Но так Вы все равно будете видеть все данные, идущие через 80 порт от всех пользователей. Чтобы видеть данный конкретного пользователя, Вы должны применить второй фильтр. Он должен содержать IP-адрес, соответствующий конкретному пользователю.

Фильтрация может быть простая, или построенная на целом комплексе фильтров. Iris предоставляет широкий выбор технологий фильтрации пакетов, позволяющих фильтровать почти любую часть пакета.

Фильтры могут быть основаны на:

• Аппаратном уровне
• Уровне протоколов
• Ключевых словах
• MAC-адресах
• IP-адресах
• Портах источников и портах назначения
• Произвольных данных и размерах пакета

Все вышеперечисленные функции крайне полезны в сетях с высоким уровнем сетевых данных.

Использование отчетов

Очень просто настроить отчетность для необходимых Вам данных. Настройки отчетности доступны для обоих режимов: Захват и Декодирование. Это позволяет Вам собирать и сохранять данных, которые Iris получил из указанного вами участка сети. Вы даже можете настроить Iris на хранение данных по определенной дате.

 

Вывод статистики сети

Вы можете вывести статистику в соответствии с протоколом, станцией или распределением размеров.

Последующая обработка данных

 

Разработчик данных (File Menu => Data Miner) был создан для обработки большого количества захваченных файлов.

Действия (Actions):

 

• Декодирование файлов (Decode capture files)

Iris воссоздает все сохранные и выбранные TCP сессии. Пакеты не будут загружены в память, что позволяет декодировать большой объем захваченных данных. Перед использованием данной операции убедитесь, что на диске достаточно свободного места. Iris потребует столько же места, сколько занимают захваченные файлы.

• Создание отчетов перемешенных данных (Generate traffic reports)

Iris выдаст сообщение о всех проделанных операциях в сети. Что не приведет к использованию места на жестком диске для захваченных файлов.

• Вывод статистики сетевых данных (Fill traffic stats)

Используйте эту опцию для вывода статистики о большом количестве захваченных файлов. Время завершение операции, размер, протокол и адрес будут отображены. Пакеты не будут загружены и сессии не будут воссозданы.

 

Источник данных (Select data source):

 

• Выбрать отдельный файл (Select individual file)

Укажите необходимые файлы. По завершению нажмите «Next»

• Указать адрес (Specify a directory)

Выберите необходимую папку. По завершению нажмите «Next»