網路傳輸流量分析Breadcrumb使用進階過濾條件減少及分析傳輸流量

使用進階過濾條件減少及分析傳輸流量

進階過濾條件可讓您依通訊協定、網域、應用程式等等來區隔傳輸流量。舉例來說,以下的示意圖展示如何找出 BOOTP 要求傳輸流量(也就是用戶端裝置從其網路區段上的 BOOTP 伺服器要求一個 IP 位址)。

Tip: 按一下箭頭按鈕()執行/包含指定的過濾條件模式。

Tip: 對 IP 位址進行過濾時,您可利用 CIDR 表示法,指定要報表顯示哪個子網路中主機的資料。例如選取傳送端過濾類型時,您可以用 192.168.11.0/24 指定子網路,顯示子網路中所有主機的資訊。

過濾條件類型

過濾條件類型名稱

說明

應用程式

在 NTA 中,區別應用程式最簡單的方法就是透過檢查 TCP/UDP 連接埠使用量,並與由 IETF 定義的或是您在 [NTA 應用程式資料庫] 中定義的已知連接埠對照。您可以選取一個或多個來過濾來展示使用指定應用程式連接埠的傳輸流量。您在此使用的標籤必須與您在 [NTA 應用程式資料庫] 中設定的應用程式名稱相同。

Tip: 如需更精確的應用程式識別/偵測,您也可以使用 NBAR(如果來源裝置上有啟用的話)。

對話

對話是傳送端 IP 位址、接收端 IP 位址,以及兩者之間可能有用到的應用程式的組合。

位置之間的對話

位置之間的對話是由一個位置傳送並由另一個位置接收的所有傳輸流量的彙總。位置可以是國家/地區、國家中的區域,或國家和區域中的城市。

端點

端點代表傳送或接收傳輸流量的一個或多個 IP 位址。它可以是一個特定 IP 位址、CIDR 表示法中的子網路,或是代表預先定義的群組的特殊鍵之一。

預先定義的群組為:

  • #monitored(所有 WhatsUp 監控的裝置 IP 位址)
  • #private(所有私人 IP 位址,192.168.0.0/16、10.0.0.0/8 等等)
  • #suspicious(所有視為可疑的 IP 位址)

端點位置

所有位於城市、區域和國家/地區內且有在傳送及接收的 IP 位址。

ICMP 類型

ICMP 類型:ICMP 類型的範例為「回應要求」或「回應回覆」還有更多由 IETF 定義的類型

NBAR 應用程式

NBAR 應用程式是來源裝置使用 NBAR 封包檢查所偵測到的應用程式。NBAR 資訊通常包含在摘要中(例如當您使用 Flexible NetFlow 時)。否則,您也可以使用 SNMP 來輪詢來源裝置以取得 NBAR 資訊。

封包大小

依照平均封包大小來過濾。

連接埠

選取作為流量中服務連接埠的連接埠號碼(HTTP 為 80、FTP 為 21 等等)。

接收端

接收傳輸流量的一個或多個 IP 位址。

它可以是一個特定 IP 位址、CIDR 表示法中的子網路,或是表示預先定義的群組的特殊鍵之一。

這些特別的群組為:

  • #monitored(所有 WhatsUp 監控的裝置 IP 位址)
  • #private(所有私人 IP 位址,192.168.0.0/16、10.0.0.0/8 等等)
  • #suspicious(所有視為可疑的 IP 位址)

接收端 ASN

同一網路中具有相同 ASN 號碼且接收傳輸流量的所有 IP 位址。

ASN 代表自治號碼,是一個由邊界閘道通訊協定 (BGP) 使用的專屬號碼。

接收端網域

同一網域中所有接收傳輸流量的 IP 位址。為了取得網域,WhatsUp Gold 會從完整格式名稱中擷取兩個最高部分,但某些國家/地區除外--這些國家/地區使用三個部分來識別網域。

例如,在英國或日本,第二部分會識別類型而不是公司,因此 BBC 的網域是 BBC.co.uk。

接收端群組

同一 NTA 群組中所有接收傳輸流量的 IP 位址。客戶可在下拉式方塊中選取多個群組。

接收端地點

同一地理位置(國家、區域或城市)中所有接收傳輸流量的 IP 位址。客戶可在下拉式方塊中選取多個位置。

接收端頂級域名

所有具備相同頂級網域 (TLD) 且接收傳輸流量的 IP 位址。TLD 是從完整格式名稱中擷取,在大多數情況下會識別註冊網域的國家/地區--但美國除外,其會識別類型 COM、EDU、ORG 等等。

傳送端

傳送傳輸流量的一個或多個 IP 位址。傳送端可以是一個特定 IP 位址、CIDR 表示法中的子網路,或是表示預先定義的群組的特殊鍵之一。

這些特別的群組為:

  • #monitored(所有 WhatsUp 監控的裝置 IP 位址)
  • #private(所有私人 IP 位址,192.168.0.0/16、10.0.0.0/8 等等)
  • #suspicious(所有視為可疑的 IP 位址)

傳送端 ASN

同一網路中具有相同 ASN 號碼且傳送傳輸流量的所有 IP 位址。

ASN 代表自治號碼,是一個由邊界閘道通訊協定 (BGP) 使用的專屬號碼。

傳送端網域

同一網域中所有傳送傳輸流量的 IP 位址。為了取得網域,WhatsUp Gold 會從完整格式名稱中取得兩個最高部分,但某些國家/地區除外--這些國家/地區使用三個部分來識別網域。

例如,在英國或日本,第二部分會識別類型而不是公司,因此 BBC 的網域是 BBC.co.uk。

傳送端群組

同一 NTA 群組中所有傳送傳輸流量的 IP 位址。

傳送端位置

顯示已向國家、州、子分區或城市註冊 IP 位址的裝置傳送的傳輸流量

傳送端頂級域名

顯示擁有指定頂級域名(例如 .com、.net、.us 或 .uk)的網域傳送的傳輸流量。

TCP 旗標

TCP 傳輸流量通常會呈現一個或多個特定 TCP 旗標(SYN、ACK、FIN、RST、ECE、PSH、URG、CWR)。流量包含在流量的生命期間累積的使用 TCP 旗標。(例如,僅帶有 SYN 旗標的流量為是從未經過 SYN-ACK 訊息認可的連線嘗試的指標。)

服務類型

服務類型 (ToS) 識別碼過濾。

Tip: 您可輸入連接埠號碼(而非應用程式名稱),以顯示通過特定連接埠的所有傳輸流量。

See Also

網路傳輸流量分析

開始分析您的網路!

開始操作前

NTA 功能和優勢

選擇 NTA 來源

設定及啟用來源收集

建立統整來源裝置

統整來源

傳輸流量分組

依連接埠號碼分類傳輸流量(NTA 應用程式)

新增服務類型(ToS)ID 的自訂標籤

收集程式資料庫維護

網路傳輸流量分析設定

IP 信譽資料庫

偵聽程式連接埠、收集及保留設定