Reduzieren und Analysieren von Datenverkehr mit dem erweiterten Filter

Mit erweiterten Filtern können Sie Datenverkehr nach Protokoll, Domäne, Anwendung usw. isolieren. Die folgende Beispieldarstellung demonstriert, wie BOOTP-Anfragen (d. h. Client-Geräte, die eine IP-Adresse von einem BOOTP-Server in ihrem Netzwerkabschnitt anfordern) isoliert werden können.

Tip: Klicken Sie auf die Schaltfläche mit den Pfeilen (), um die angegebenen Filtermuster aus-/einzuschließen.

Tip: Zum Filtern nach einer IP-Adresse können Sie die CIDR-Notation verwenden, um ein Subnetz an Hosts zu bezeichnen, die von den Berichten für die Anzeige von Daten verwendet werden sollen. Beispiel: Wenn Sie als Filtertyp „Absender“ wählen, können Sie unter Verwendung von 192.168.11.0/24 ein Subnetz angeben, um sich Informationen aller Hosts in diesem Subnetz anzeigen zu lassen.

Filterarten

Name der Filterart

Beschreibung

Anwendung

Die einfachste Möglichkeit zur Abgrenzung einer Anwendung in NTA ist der Abgleich der Nutzung der TCP-/UDP-Ports mit einer Liste häufig verwendeter Ports, die von der IETF oder in der NTA-Anwendungsbibliothek von Ihnen definiert wurde. Sie können mit Filtern nur den Datenverkehr anzeigen lassen, von dem der angegebene Anwendungsport verwendet wurde. Die hier verwendete Bezeichnung muss mit dem Anwendungsnamen übereinstimmen, der für die Konfiguration in der NTA-Anwendungsbibliothek verwendet wurde.

Tip: Zur genaueren Anwendungserkennung können Sie auch NBAR verwenden (falls für das Quellgerät aktiviert).

Konversation

Eine Konversation ist die Kombination aus IP-Absenderadresse, IP-Empfängeradresse und der dazwischen verwendeten vermuteten Anwendung.

Konversation zwischen Standorten

Konversationen zwischen Standorten sind eine Zusammenfassung des gesamten Datenverkehrs, der von einem Standort gesendet und von einem anderen Standort empfangen wurde. Bei einem Standort kann es sich um ein Land, eine Region in einem Land oder eine Stadt (Ort) in einer Region/einem Land handeln.

Endpunkt

Ein Endpunkt ist mindestens eine IP-Adresse, die Datenverkehr sendet oder empfängt. Es kann sich um eine bestimmte IP-Adresse, ein Subnetz in CIDR-Schreibweise oder einen Spezialschlüssel handeln, der für vordefinierte Gruppen steht.

Es gibt folgende vordefinierten Gruppen:

  • #monitored (alle IP-Adressen von Geräten, die mit WhatsUp überwacht werden)
  • #private (alle privaten IP-Adressen, 192.168.0.0/16, 10.0.0.0/8 usw.)
  • #suspicious (alle als verdächtig angesehenen IP-Adressen)

Endpunktstandort

Alle IP-Adressen in einem Ort, einer Region und einem Land, die senden und empfangen.

ICMP-Typ

ICMP-Typ. Beispiele für ICMP-Typen: „Echo Request“ (Echoanforderung) oder „Echo Reply“ (Echoantwort) usw., siehe IETF-Definition.

NBAR-Anwendung

NBAR-Anwendungen sind die Anwendungen, die vom Quellgerät über die NBAR-Paketinspektion erkannt wurden. NBAR-Daten werden in der Regel in Flow-Zusammenfassungen aufgenommen (z. B. wenn Sie Flexible NetFlow verwenden). Sie können das Quellgerät auch mit SNMP auf NBAR-Daten abfragen.

Paketgröße

Nach durchschnittlicher Paketgröße filtern.

Port

Portnummer, die als Dienstport in einem Flow ausgewählt wurde (80 für HTTP, 21 für FTP usw).

Empfänger

Mindestens eine IP-Adresse, die Datenverkehr empfängt.

Es kann sich um eine bestimmte IP-Adresse, ein Subnetz in CIDR-Schreibweise oder einen Spezialschlüssel handeln, der für vordefinierte Gruppen steht.

Es gibt folgende vordefinierten Gruppen:

  • #monitored (alle IP-Adressen von Geräten, die mit WhatsUp überwacht werden)
  • #private (alle privaten IP-Adressen, 192.168.0.0/16, 10.0.0.0/8 usw.)
  • #suspicious (alle als verdächtig angesehenen IP-Adressen)

Empfänger-ASN

Alle IP-Adressen im gleichen Netzwerk mit der gleichen ASN-Nummer, die Datenverkehr empfangen.

ASN bedeutet „Autonomous system number“ (Nummer des autonomen Systems). Es handelt sich um eine eindeutige Nummer, die vom Border Gateway Protocol (BGP) verwendet wird.

Empfänger-Domäne

Alle IP-Adressen in der gleichen Domäne, die Datenverkehr empfangen. Die Domäne wird von WhatsUp Gold in der Regel durch Extrahierung der zwei obersten Teile des vollqualifizierten Domänennamens gewonnen. Eine Ausnahme bilden bestimmte Länder, in denen drei Teile verwendet werden, um eine Domäne zu identifizieren.

Beispiel: In Großbritannien und Japan wird durch den zweiten Teil der Domäne der Typ und nicht das Unternehmen identifiziert (d. h. die Domäne der BBC ist „BBC.co.uk“).

Empfänger-Gruppe

Alle IP-Adressen in der gleichen NTA-Gruppe, die Datenverkehr empfangen. Kunden können mehrere Gruppen mit dem Kombinationsfeld auswählen.

Empfänger-Standort

Alle IP-Adressen am gleichen geographischen Standort (Land, Region, Ort), die Datenverkehr empfangen. Kunden können mehrere Standorte mit dem Kombinationsfeld auswählen.

Empfänger-TLD

Alle IP-Adressen mit der gleichen Top-Level-Domäne (TLD), die Datenverkehr empfangen. Die TLD wird aus dem vollqualifizierten Domänennamen gewonnen und gibt in den meisten Fällen das Land an, in dem die Domäne registriert wurde. Eine Ausnahme bildet die USA, bei denen der Typ (.com, .edu, .org usw.) identifiziert wird.

Absender

Mindestens eine IP-Adresse, die Datenverkehr sendet. Es kann sich um eine bestimmte IP-Adresse, ein Subnetz in CIDR-Schreibweise oder einen Spezialschlüssel handeln, der für vordefinierte Gruppen steht.

Es gibt folgende vordefinierten Gruppen:

  • #monitored (alle IP-Adressen von Geräten, die mit WhatsUp überwacht werden)
  • #private (alle privaten IP-Adressen, 192.168.0.0/16, 10.0.0.0/8 usw.)
  • #suspicious (alle als verdächtig angesehenen IP-Adressen)

Absender-ASN

Alle IP-Adressen im gleichen Netzwerk mit der gleichen ASN-Nummer, die Datenverkehr senden.

ASN bedeutet „Autonomous system number“ (Nummer des autonomen Systems). Es handelt sich um eine eindeutige Nummer, die vom Border Gateway Protocol (BGP) verwendet wird.

Absender-Domäne

Alle IP-Adressen in der gleichen Domäne, die Datenverkehr senden. Die Domäne wird von WhatsUp Gold in der Regel durch Extrahierung der zwei höchsten Teile des vollqualifizierten Domänennamens gewonnen. Eine Ausnahme bilden bestimmte Länder, in denen drei Teile verwendet werden, um eine Domäne zu identifizieren.

Beispiel: In Großbritannien und Japan wird durch den zweiten Teil der Domäne der Typ und nicht das Unternehmen identifiziert (d. h. die Domäne der BBC ist „BBC.co.uk“).

Absender-Gruppe

Alle IP-Adressen in der gleichen NTA-Gruppe, die Datenverkehr senden.

Absender-Standort

Hiermit wird der Datenverkehr angezeigt, der von Geräten gesendet wurde, deren IP-Adresse für ein Land, ein Bundesland, eine Region oder eine Stadt registriert ist.

Absender-TLD

Hiermit wird der Datenverkehr angezeigt, der von Domänen mit den angegebenen Top-Level-Domänen gesendet wurde (wie z. B. .com, .net, .us oder .uk).

TCP-Kennungen

Der TCP-Datenverkehr weist in der Regel mindestens eine spezifische TCP-Kennung auf (SYN, ACK, FIN, RST, ECE, PSH, URG, CWR). Flows enthalten eine Zusammenfassung der TCP-Kennungen, die während der Lebensdauer der Flows verwendet werden. (Beispiel: Flows, die nur die SYN-Kennung aufweisen, weisen auf Verbindungsversuche hin, die nie mit einer SYN-ACK-Meldung bestätigt wurden.)

Diensttyp

Filtern nach Diensttyp-ID

Tip: Statt eines Anwendungsnamens können Sie auch eine Portnummer eingeben, um sich den gesamten Datenverkehr anzeigen zu lassen, der über einen bestimmten Port läuft.

See Also

Netzwerkdatenverkehrsanalyse

Erste Netzwerkanalyse

Vor Beginn der Überwachung

Funktionen und Vorteile von NTA

Auswahl der NTA-Quellen

Konfigurieren und Aktivieren der Erfassung an Quellen

Aggregierte Quellen erstellen

Zusammenführen von Quellen

Gruppieren von Datenverkehr

Datenverkehr nach Portnummer klassifizieren (NTA-Anwendungen)

Hinzufügen benutzerdefinierter Kennzeichnungen für Diensttyp-IDs (ToS)

Wartung der Collector-Datenbank

Einstellungen für die Netzwerkdatenverkehrsanalyse

IP-Bewertungsbibliothek

Einstellungen für Listener-Port, Erfassung und Speicherung