Les filtres avancés vous permettent d'isoler le trafic par protocole, domaine, application, etc. Par exemple, l'illustration suivante montre comment isoler un trafic de demande BOOTP (autrement dit, les périphériques clients demandant une adresse IP à un serveur BOOTP sur leur segment de réseau).
Tip: Cliquez sur les boutons fléchés () pour exclure/inclure le modèle de filtre spécifié.
Tip: Pour filtrer sur une adresse IP, vous pouvez utiliser la notation CIDR pour identifier un sous-réseau d'hôtes duquel les rapports affichent les données. Par exemple, lorsque vous sélectionnez un type de filtre Expéditeur, vous pouvez spécifier un sous-réseau utilisant 192.168.11.0/24 pour afficher les informations de tous les hôtes du sous-réseau.
Nom du type de filtre |
Description |
Application |
Dans NTA, la façon la plus simple de distinguer une application est de vérifier l'utilisation des ports TCP/UDP par rapport aux ports connus définis par l'IETF ou définis par vous dans la bibliothèque d'applications NTA. Vous pouvez en sélectionner un ou plusieurs à filtrer pour révéler le trafic qui a utilisé le port d'application spécifié. L'étiquette que vous utilisez ici doit correspondre au nom de l'application tel qu'il est configuré dans la boîte de dialogue Bibliothèque d'applications NTA. Tip: Pour une reconnaissance/détection plus complète des applications, vous pouvez également utiliser NBAR (si activé sur le périphérique source). |
Conversation |
Les conversations sont la combinaison d'une adresse IP de l'expéditeur, d'une adresse IP du destinataire et de l'application suspecte utilisée entre eux. |
Conversation entre sites |
Les conversations entre sites sont l'agrégation de tout le trafic envoyé par un lieu et reçu par un autre lieu. Un emplacement peut être un pays, une région dans un pays ou une ville dans une région et un pays. |
Terminal |
Un terminal représente une ou plusieurs adresses IP qui envoient ou reçoivent du trafic. Il peut s'agir d'une adresse IP spécifique, d'un sous-réseau en notation CIDR ou d'une des clés spéciales qui représentent des groupes prédéfinis. Les groupes prédéfinis sont :
|
Emplacement des terminaux |
Toutes les adresses IP situées dans une ville, une région et un pays d'envoi et de réception. |
Type ICMP |
Type ICMP. Des exemples de type ICMP sont « Echo Request » ou « Echo Reply » et plus selon la définition de l'IETF. |
Application NBAR |
Les applications NBAR sont l'application que le périphérique source détecte à l'aide de l'inspection des paquets NBAR. L'information du NBAR est généralement incluse dans les résumés de flux (lorsque vous utilisez le flux net flexible, par exemple). Sinon, vous pouvez également utiliser SNMP pour interroger le périphérique source pour obtenir des informations NBAR. |
Taille de paquet |
Filtrez sur la taille moyenne des paquets. |
Port |
Numéro de port sélectionné comme port de service dans un flux (80 pour HTTP, 21 pour FTP, et plus). |
Destinataire |
Une ou plusieurs adresses IP recevant du trafic. Il peut s'agir d'une adresse IP spécifique, d'un sous-réseau en notation CIDR ou de l'une des clés spéciales qui désignent des groupes prédéfinis. Ces groupes spéciaux sont :
|
ASN du destinataire |
Toutes les adresses IP d'un même réseau avec le même numéro ASN recevant le trafic. ASN signifie Autonomous system number et est un numéro unique utilisé par le Border Gateway Protocol (BGP). |
Domaine du destinataire |
Toutes les adresses IP d'un même domaine recevant du trafic. Pour obtenir le domaine, WhatsUp Gold extrait les deux parties les plus hautes du nom complet, à l'exception de certains pays - où trois parties sont utilisées pour identifier un domaine. Par exemple, au Royaume-Uni ou au Japon, la deuxième partie identifie le type, et non la société, de sorte que le domaine BBC est BBC.co.uk. |
Groupe de destinataires |
Toutes les adresses IP du même groupe NTA recevant du trafic. Les clients peuvent sélectionner plusieurs groupes dans la liste déroulante. |
Emplacement du destinataire |
Toutes les adresses IP d'un même emplacement géographique (pays, région ou ville) recevant du trafic. Les clients peuvent sélectionner plusieurs emplacements dans la liste déroulante. |
TLD du destinataire |
Toutes les adresses IP avec le même domaine de premier niveau (TLD) recevant du trafic. Le TLD est extrait du nom complet et, dans la plupart des cas, identifie le pays du domaine enregistré - à l'exception des États-Unis qui identifie le type COM, EDU, ORG, et plus. |
Expéditeur |
Une ou plusieurs adresses IP envoyant du trafic. L'expéditeur peut être une adresse IP spécifique, un sous-réseau en notation CIDR ou une des clés spéciales qui désignent des groupes prédéfinis. Ces groupes spéciaux sont :
|
ASN de l'expéditeur |
Toutes les adresses IP d'un même réseau avec le même numéro ASN envoyant du trafic. ASN signifie Autonomous system number et est un numéro unique utilisé par le Border Gateway Protocol (BGP). |
Domaine de l'expéditeur |
Toutes les adresses IP d'un même domaine qui envoient du trafic. Pour obtenir le domaine, WhatsUp Gold obtient les deux parties les plus élevées du nom pleinement qualifié, sauf pour certains pays où trois parties sont utilisées pour identifier un domaine. Par exemple, au Royaume-Uni ou au Japon, la deuxième partie identifie le type, et non la société, de sorte que le domaine BBC est BBC.co.uk. |
Groupe de l'expéditeur |
Toutes les adresses IP d'un même trafic d'envoi du groupe NTA. |
Emplacement de l'expéditeur |
Affiche le trafic envoyé par les périphériques dont les adresses IP sont enregistrées dans un pays, un état, une subdivision territoriale ou une ville |
TLD de l'expéditeur |
Affiche le trafic envoyé par les domaines qui disposent du domaine de niveau supérieur spécifié (.com, .net, .us ou .uk). |
Indicateurs TCP |
Le trafic TCP affiche généralement un ou plusieurs des indicateurs TCP spécifiques (SYN, ACK, FIN, RST, ECE, PSH, URG, CWR). Les flux contiennent l'accumulation des drapeaux TCP utilisés pendant la durée de vie des flux. (Par exemple, les flux dont seul l'indicateur SYN est activé sont des indicateurs de tentatives de connexion qui n'ont jamais été validées avec un message SYN-ACK). |
Type de service |
Filtrer par identifiant de type de service (ToS). |
Tip: Vous pouvez saisir un numéro de port plutôt qu'un nom d'application pour afficher tout le trafic transmis sur un port précis.