Создание фильтров

 

Вы можете выбрать фильтры через меню фильтров (Filter Menu) или иконку фильтров на панели инструментов. Фильтры могут быть сохранены, а потом повторно использованы. Включенный фильтр, так же, может быть изменен перед сохранением. Если фильтр не отсеивает (собирает) необходимые Вам данные он может быть уделен через главное меню.

 

Использование адресной книги в фильтрах

 

Адресная книга поможет Вам задать удобные имена для сетевых компонентов.

Чтобы использовать адресную книгу для задания фильтров, нажмите правую кнопку мыши над пакетом, содержащим адрес, который Вы хотите отфильтровать, и выберите «Add to Address Book» (Add Source или Add Destination). Теперь этот адрес может быть использован в создании фильтров.

Чтобы открыть Адресную книгу нажмите: View=>Address Book.

На контрольной панели нажмите кнопку «Filters» и откройте страницу свойств IP-фильтров (IP Filters property).

Перетащите адрес с Дерева Адресной Книги в пустой слот (IP или MAC адрес) фильтра.

 

Аппаратный фильтр

 

Этот фильтр приказывает сетевому адаптеру захватывать определенные пакеты.

Чтобы посмотреть аппаратные фильтры на панели управления нажмите «Filters», выберите «Аппаратные фильтры» (Hardware Filters). Выберите опцию из приведенных ниже.

 

Опция	Описание
Promiscuous (Смешанный)	Захватывает все пакеты из данного сегмента сети
Directed (Определенные)	Пропускает только пакеты, адресованные этому адаптеру
Multicast (Сложносоставные)	Осуществляет захват сложносоставных (больших по размеру) пакетов
All multicast (Все сложносоставные)	Захват сложносоставных пакетов с указанного списка адресов
Broadcast (Передача)	Передача фреймов
Functional (Функциональные)	Захват функциональных пакетов с/на определенного адреса
Mac Frame	Мас пакеты
Source Routing	Пакеты с определенного адреса
Group (Групповые)	Пакеты, отправленные для целой группы адресов
Smt	SMT пакеты
All Functional	Захват всех функциональных пакетов

 

Фильтр уровней

 

Используйте этот фильтр, если Вам необходимо сортировать пакеты по типу (2 уровень» и подтипу (3 уровень)

 

Для установки фильтра уровней пакетов, нажмите кнопку «Filters» и выберите закладку «Layer 2,3».

Установите требуемый уровень и нажмите кнопку «Apply», чтобы фильтр вступил в силу.

Вы можете оптимизировать любой протокол, изменив proto.dat, находящийся в папке Iris, посредством любого текстового редактора.

Для 2 уровня исправьте данные в секции «Protocol», для 3 уровня исправьте секцию «IP Protocol».

Чтобы поместить необходимый Вам протокол в числе первых (отображаются в алфавитном порядке), перед именем поставьте прочерк. Например:

 

01 _ICMP [Internet Control Message]

02 _IGMP [Internet Group Management]

03 GGP [Gateway-to-Gateway]

 

Протоколы ICMP и IGMP будут предшествовать протоколу GGP.

Данные 2 уровня могут быть заданны интервалом. Например:

 

1001-100F Berkeley Trainer

 

Все 1001,1002,1003...100F значения будут отображены как Berkeley Trainer.

 

Фильтр слов

 

Используйте словесный фильтр, что бы отслеживать пакеты или целые сессии, содержащие отдельные слова или предложения.

Чтобы получить справку о значении той или иной кнопки, подержите курсор над кнопкой в течение пары секунд.

Введите слова, по которым хотите совершить сортировку.

Используйте кнопки «OR» и «AND», чтобы поиск осуществлялся по любому или всем словам в пакете сразу.

 

 

«Apply filter to packets» используется по умолчанию, пропускаться будут только пакеты, содержащие необходимые слова.

«Mark sessions containing words», данный режим будет пропускать все пакеты и помечать сессии с нужными словами в режиме декодирования.

 

Заметьте, восклицательным знаком отмечены сессии, содержащие оба искомых слова.

 

 

Фильтр MAC-адресов

 

Эти фильтры позволяют отслеживать обращения к особому аппаратному уровню адресов, известных как МАС (Media Access Control). Этот фильтр следит за обращениями к определенным устройствам.

В окне фильтров выберете закладку «MAC addresses».

Верхний раздел отображает уже известные Вам МАС-адреса (включая адресную книгу). Вы можете перетаскивать необходимые адреса мышкой или вводить их с клавиатуры вручную.

 

Фильтр IP-адресов

 

Фильтр IP-адресов позволяет захватывать входящие/исходящие пакеты на определенные адреса. Нажмите кнопку «Filters» и выберете закладку «IP Address».

Выберете режим:

Include – пакеты подходящие по условию будут захватываться.

Exclude - пакеты подходящие по условию будут отклоняться.

Верхний раздел отображает уже известные Вам IP-адреса (включая адресную книгу). Вы можете перетаскивать необходимые адреса мышкой или вводить их с клавиатуры вручную.

 

 

Фильтр портов

 

Фильтр портов позволяет захватывать данные, адресованные определенному порту. Просматривая прохождение данных по портам, Вы можете ограничить количество обращений к различным сервисам, будь то HTML или SMTP.

Список портов может быть рассортирован при нажатии на заголовок столбца.

Вы можете оптимизировать любой порт, изменив proto.dat, находящийся в папке Iris, посредством любого текстового редактора.

Чтобы поместить необходимый Вам порт в числе первых (отображаются в алфавитном порядке), перед именем поставьте прочерк. Например:

 

01 _ICMP [Internet Control Message]

02 _IGMP [Internet Group Management]

03 GGP [Gateway-to-Gateway]

 

Порты ICMP и IGMP будут предшествовать портам GGP.

Для TCP портов отредактируйте секцию [TCP PORTS].

 

 

Расширенный фильтр

 

В этом фильтре применяются два правила: размер и данные, содержащиеся в НЕХ-коде.

 

В разделе «Size» Вы можете установить отбор по ограничению, соответствию или превышении указанного размера.

В разделе «Data» Вы можете указать необходимый Вам НЕХ-код.