使用高级筛选来减少和分析流量

高级筛选器使您能够按协议、域、应用程序等条件来隔离流量。例如,以下图像显示如何隔离 BOOTP 请求流量(也就是在网络区段上从 BOOTP 服务器请求 IP 地址的客户端设备)。

Tip: 单击箭头按钮()以排除/包括指定的筛选模式。

Tip: 要按 IP 地址筛选,您可以使用 CIDR 表示法,指定要报告显示哪个子网中主机的数据。例如,当选择发送端筛选类型时,您可以用 192.168.11.0/24 指定子网,以显示该子网中所有主机的信息。

过滤类型

过滤器类型名称

描述

应用程序

在 NTA 中,区分应用程序的最简单方法是对照 IETF 定义的或 NTA 应用程序库中您定义的众所周知的端口检查 TCP/UDP 端口的使用情况。您可以选择一个或多个进行筛选以显示使用指定应用程序端口的流量。您在此处使用的标记必须与 NTA 应用程序库中配置的应用程序名称匹配。

Tip:为了更彻底地识别/检测应用程序,您还可以使用 NBAR(如果在源设备上启用)。

对话

会话是发送端 IP 地址、接收端 IP 地址及其之间正在使用的可疑应用程序的组合。

地点之间的对话

位置之间的对话是由一个位置发送并由另一个位置接收的所有流量的汇总。位置可以是国家、国家的地区或地区和国家的城市。

终端

终端代表一个或多个发送或接收流量 IP 地址。它可以是特定 IP 地址、CIDR 表示法的子网或代表预定义组的特殊键之一。

预定义组是:

  • #受监控(所有受 WhatsUp 监控设备 IP 地址)
  • #专有(所有专用 IP 地址,192.168.0.0/16, 10.0.0.0/8等)
  • #可疑(被视为可疑的所有 IP 地址)

终端位置

位于城市、地区和国家(地区)发送和接收的所有 IP 地址。

ICMP 类型

ICMP 类型。ICMP 类型的示例是“回声请求”或“回声应答”以及 IETF 定义的更多类型

NBAR 应用程序

NBAR 应用程序是源设备使用 NBAR 数据包检查检测到的应用程序。NBAR 信息通常包含在流摘要中(例如,当您使用 Flexible NetFlow 时)。否则,您也可以使用 SNMP 轮询源设备以获取 NBAR 信息。

数据包大小

按平均数据包大小过滤。

端口

在流中选择作为服务端口的端口号(HTTP 为 80,FTP 为 21 等)。

接收端

一个或多个 IP 地址接收流量。

它可以是特定 IP 地址、CIDR 表示法的子网或代表预定义组的特殊键之一。

这些特殊组是:

  • #受监控(所有受 WhatsUp 监控设备 IP 地址)
  • #专有(所有专用 IP 地址,192.168.0.0/16, 10.0.0.0/8等)
  • #可疑(被视为可疑的所有 IP 地址)

接收端 ASN

同一网络中具有相同 ASN 编号的接收流量的所有 IP 地址。

ASN 代表自主系统编号,是边界网关协议 (BGP) 使用的唯一编号。

接收端域

同一域中接收流量所有 IP 地址。从完全限定名称中提取两个最高部分获得域名(不包括一些国家)其中三个部分用于识别域名)。

例如,在英国或日本,第二部分标识类型,而不是公司,因此 BBC 域是 BBC.co.uk。

接收端群组

同一 NTA 群组中接收流量所有 IP 地址。客户可以在组合框中选择多个组。

接收端地点

同一地理位置(国家、地区或城市)中接收流量的所有 IP 地址。客户可以在组合框中选择多个位置。

接收端 TLD

具有相同顶级域 (TLD) 的接收流量的所有 IP 地址。TLD 是从完全限定的名称中提取的,并且在大多数情况下会标识注册域的国家,但美国除外,会标识COM、EDU、ORG 等类型。

发送端

发送流量的一个或多个 IP 地址。发送端可以是特定 IP 地址、CIDR 表示法的子网或代表预定义组的特殊键之一。

这些特殊组是:

  • #受监控(所有受 WhatsUp 监控设备 IP 地址)
  • #专有(所有专用 IP 地址,192.168.0.0/16, 10.0.0.0/8等)
  • #可疑(被视为可疑的所有 IP 地址)

发送端 ASN

同一网络中具有相同 ASN 编号的发送流量的所有 IP 地址。

ASN 代表自主系统编号,是边界网关协议 (BGP) 使用的唯一编号。

发送端网域

同一域中发送流量所有 IP 地址。从完全限定名称中提取两个最高部分获得域名(不包括一些国家)其中三个部分用于识别域名)。

例如,在英国或日本,第二部分标识类型,而不是公司,因此 BBC 域是 BBC.co.uk。

发送端群组

同一 NTA 群组中发送流量所有 IP 地址。

发送端地点

显示已向指定国家、州、地区或市注册 IP 地址的设备发送的流量。

发送端顶级域名

显示拥有指定顶级域名 (例如 .com、.net、.us 或 .uk) 的域发送的流量。

TCP 旗标

TCP 流量通常会显示一个或多个特定的 TCP 标志(SYN、ACK、FIN、RST、ECE、PSH、URG、CWR)。流包含在流生存期内使用的 TCP 标志的累积。(例如,仅启用 SYN 标志的流是从未用 SYN-ACK 确认的连接尝试的指示)。

服务类型

服务类型 (ToS) 标识符筛选。

Tip:输入端口号码而非应用程序名称,即可显示通过特定端口的所有传输流量。

See Also

网络传输流量分析

开始分析您的网络!

准备工作

NTA 功能和优势

选择 NTA 来源

配置和启用对来源的收集

创建聚合来源

聚合来源

流量分组

按端口号对流量分类(NTA 应用程序)

为服务类型 (ToS) ID 添加自定义标签

收集器数据库维护

网络流量分析设置

IP 声誉库

侦听器端口、收集和保留设置