В окне Журнал регистрации IP-пакетов в соответствии с параметрами, указанными в окне Журнал IP-пакетов ViPNet Монитором выводится информация о входящем и/или исходящем IP-трафике, зарегистрированном ViPNet Драйвером.
Замечание: ViPNetДрайвер запоминает определенный объем информации об IP-пакетах даже когда ViPNet Монитор не загружен. После загрузки Монитора Драйвер передает ему сохраненную информацию, и она отобразится в журнале регистрации IP-пакетов. Однако следует учитывать, что информация, сохраняемая в памяти Драйвера, ограничена 10000 записями журнала и при переполнении памяти более старые данные замещаются более новыми. Поэтому если Монитор был выгружен продолжительное время, то часть информации, возможно, будет утеряна.
Рис. 31
Окно Журнал регистрации IP-пакетов состоит из двух полей:
ü в верхнем поле отображаются записи журнала;
ü в нижнем поле отображается подробная информация о записи журнала, на которой стоит курсор.
Записи в журнале группируются по следующему принципу:
В какой-то момент времени программа регистрирует пакет с определенными характеристиками (адресами, портами, протоколом, и т.д.) и создает запись, при этом данный момент времени записывается в графу Начало интервала. Далее в течение времени, указанного в окне Настройка Журнала подсчитывается количество пакетов с такими же характеристиками, при этом новая запись не создается. Количество пакетов фиксируется в графе Счетчик. Когда время, указанное в Интервале регистрации IP-пакетов закончится, то при регистрации очередного пакета с такими же характеристиками создастся новая запись.
Соответственно при приходе какого-либо пакета с другими характеристиками, для него создается своя запись и выполняется тот же принцип.
Для каждой записи журнала выводится следующая информация:
Таблица 7
| Название столбца
| Описание
|
| Начало интервала
| Дата и время создания новой записи при регистрации пакета с определенными характеристиками.
|
| Конец интервала
| · Если закончилось время, указанное в вышеуказанном параметре, то в этой графе отображается дата и время окончания подсчета количества IP-пакетов с одинаковыми характеристиками без создания новых записей. Это значение больше не изменится.
· Если указанный временной интервал еще не завершился, то Конец интервала показывает время последней регистрации IP-пакета с данной характеристикой, и если зарегистрируются еще такие IP-пакеты, то значение данного параметра будет меняться.
|
| IP-адрес отправителя
| Значение IP-адреса с которого/по которому произошло обращение
|
| Порт отправителя
| Значения порта соединения отправителя пакета.
|
| IP-адрес получателя
| Значение IP-адреса и имени компьютера (если определилось) получателя пакета.
|
| Порт получателя
| Значения порта соединения получателя пакета.
|
| Протокол
| Протокол, по которому происходил обмен
|
| Событие
| Событие, присвоенное записи. Описание событий, отслеживаемых ПО ViPNet, находится в таблицах 9, 9-а, 9-б, 9-в.
|
| Пакетов
| Количество IP-пакетов с одинаковой характеристикой, т.е. сгруппированных в одну запись.
|
| Размер
| Отображает размер (в байтах) всех IP-пакетов, сгруппированных в одну запись.
|
| Широковещание
| Широковещательный признак пакета. Если пакет широковещательный, то отображается значок  , если обычный – ничего не отображается.
|
По любому из вышеописанных столбцов можно отсортировать информацию (по возрастанию или убыванию, если в данном поле числа; в алфавитном или обратном алфавитном порядке, если в данном поле буквы). Для этого следует навести указатель мыши на название конкретного столбца и нажать левую кнопку (один или два раза).
При необходимости есть возможность скопировать в буфер информацию из любой колонки журнала регистрации IP-пакетов.
Широковещательные IP-пакеты отображены на светло-сиреневом фоне.
В начале каждой записи журнала расположены два значка. Первый значок указывает на тип события, присвоенного записи, второй значок – на направление IP-трафика записи:
Таблица 8
| Тип события
| Направление
|
В журнале регистрируется четыре типа событий, отображающиеся следующими значками:
 – IP-пакеты заблокированы.
 – IP-пакеты пропущены.
 – IP-пакеты блокированы системой обнаружения вторжений.
| Значки направления IP-трафика:
 – исходящие IP-пакеты.
 – входящие IP-пакеты.
|
В строке состояния (внизу окна) отображается размер IP-пакетов выбранной записи, номер записи и общее число записей в журнале. Если выделить несколько записей журнала, то отобразится сумма значений поля Размер для выделенных записей (в байтах). Вы можете выделить сразу все записи журнала, воспользовавшись комбинацией клавиш Ctrl+A.
Все события разделены на группы и подгруппы. Иерархия групп и подгрупп отображена в таблице:
Таблица 9
| Все IP-пакеты
|
| Все заблокированные IP-пакеты
| Все пропущенные IP-пакеты
| События системы обнаружения атак
|
| IP-пакеты, блокированные фильтрами (таблица 9-а)
| IP-пакеты, блокированные по другим причинам (таблица 9-б)
| Таблица 9-в
| IP
| ICMP
| UDP
| TCP
|
| | | | | | | |
Списки событий, отслеживаемых ViPNet, описаны ниже:
Таблица 9-а
| № события
| Название события
| Описание события
|
|
| Локальный IP-пакет блокирован фильтром
| Пакет блокируется правилом фильтрации из группы локальных правил или для пакета не удалось найти подходящее правило
|
|
| Транзитный IP-пакет блокирован фильтром
| Пакет блокируется правилом фильтрации из группы транзитных правил или для пакета не удалось найти подходящее правило
|
|
| Широковещательный IP-пакет блокирован фильтром
| Пакет блокируется правилом фильтрации из группы широковещательных правил или для пакета не удалось найти подходящее правило
|
|
| IP-пакет блокирован фильтром антиспуфинга
| Найдено соответствующее правило в таблице антиспуфинга
|
|
| Неподдерживаемый тип ICMP-сообщения
| ICMP-пакет не принадлежит ни одному из существующих соединений и при этом его тип отличен от типа 8, кода 0
|
|
| Превышено максимальное число защищаемых IP-адресов
| В течение заданного периода времени были получены пакеты от большего количества адресов, чем задано в лицензии
|
Таблица 9-б
|
| Размер IP-пакета меньше допустимого
| Размер IP-пакета меньше минимально возможного
|
|
| Недопустимая версия протокола IP
| В данной версии поддерживается только протокол IP версии 4
|
|
| Недопустимая длина заголовка IP-пакета
| Длина заголовка протокола IP меньше минимально возможного
|
|
| Недопустимая длина IP-пакета
| Длина пакета меньше, чем указано в заголовке протокола IP
|
|
| Несовпадение контрольной суммы IP
| Подсчитанное значение контрольной суммы заголовка IP-пакета не совпадает со значением, указанным в пакете
|
|
| Размер заголовка TCP меньше минимально допустимого
| Недопустимо короткий заголовок протокола TCP
|
|
| Размер заголовка UDP меньше минимально допустимого
| Недопустимо короткий заголовок протокола UDP
|
|
| Дефрагментация IP-пакета была отменена
| Были обработаны не все фрагменты, образующие пакет
|
|
| Широковещательный адрес отправителя IP-пакета
| Адрес отправителя в пакете указан широковещательный
|
|
| Фрагменты IP-пакета пересекаются между собой
| Наиболее старый из пересекающихся фрагментов был отброшен
|
|
| Недостаточно ресурсов для обработки IP-фрагмента
| Пакет не может быть обработан из-за недостаточности свободных ресурсов. Если эта ошибка стабильно проявляется, то требуется обновление версии драйвера, использующего больше машинных ресурсов, или требуется более совершенная модель компьютера
|
|
| IP-пакет получен во время инициализации драйвера
| Блокировка всех пакетов во время инициализации драйвера
|
|
| Слишком большой размер IP-пакета
| Размер пакета ограничен параметром 48 Кбайт
|
|
| Превышено время сборки фрагментов IP-пакета
| За допустимое время получены не все фрагменты фрагментированного пакета
|
|
| Недостаточно памяти
| Не хватило памяти во время обработки пакета
|
|
| Недостаточно ресурсов для обработки IP-пакета
| IP-пакет не может быть обработан из-за нехватки свободных ресурсов.
|
|
| Недопустимые флаги TCP
| Блокируются новые соединения с установленными одновременно флагами SYN+FIN/RST. Также блокируются новые (с точки зрения ПО ViPNet) соединения без флага SYN. Т.е. если до загрузки ПО ViPNet были установлены какие-либо TCP-соединения, то после загрузки ВСЕ пакеты, касающиеся этих соединений, будут блокироваться.
Блокируется " некорректный" пакет в уже установленном TCP-соединении.
|
|
| Модуль прикладной обработки не загружен
| Не загружен соответствующий модуль прикладной обработки
|
|
| Превышено максимальное количество соединений
| Количество уже установленных соединений превышает максимально допустимое ПО ViPNet (не лицензией)
|
|
| Соединение уже существует
| Если параметры исходящих пакетов для создаваемого соединения совпадают с уже существующими, то такое соединение блокируется
|
| | | | |
Таблица 9-в
|
| Пропущен локальный IP-пакет
| Найдено разрешающее правило фильтрации в группе локальных правил
|
|
| Пропущен широковещательный IP-пакет
| Найдено разрешающее правило фильтрации в группе широковещательных правил
|
