Analyse du trafic réseauBreadcrumbRéduction et analyse du trafic avec un filtrage avancé

Réduction et analyse du trafic avec un filtrage avancé

Les filtres avancés vous permettent d'isoler le trafic par protocole, domaine, application, etc. Par exemple, l'illustration suivante montre comment isoler un trafic de demande BOOTP (autrement dit, les périphériques clients demandant une adresse IP à un serveur BOOTP sur leur segment de réseau).

Tip: Cliquez sur les boutons fléchés () pour exclure/inclure le modèle de filtre spécifié.

Tip: Pour filtrer sur une adresse IP, vous pouvez utiliser la notation CIDR pour identifier un sous-réseau d'hôtes duquel les rapports affichent les données. Par exemple, lorsque vous sélectionnez un type de filtre Expéditeur, vous pouvez spécifier un sous-réseau utilisant 192.168.11.0/24 pour afficher les informations de tous les hôtes du sous-réseau.

Types de filtre

Nom du type de filtre

Description

Application

Dans NTA, la façon la plus simple de distinguer une application est de vérifier l'utilisation des ports TCP/UDP par rapport aux ports connus définis par l'IETF ou définis par vous dans la bibliothèque d'applications NTA. Vous pouvez en sélectionner un ou plusieurs à filtrer pour révéler le trafic qui a utilisé le port d'application spécifié. L'étiquette que vous utilisez ici doit correspondre au nom de l'application tel qu'il est configuré dans la boîte de dialogue Bibliothèque d'applications NTA.

Tip: Pour une reconnaissance/détection plus complète des applications, vous pouvez également utiliser NBAR (si activé sur le périphérique source).

Conversation

Les conversations sont la combinaison d'une adresse IP de l'expéditeur, d'une adresse IP du destinataire et de l'application suspecte utilisée entre eux.

Conversation entre sites

Les conversations entre sites sont l'agrégation de tout le trafic envoyé par un lieu et reçu par un autre lieu. Un emplacement peut être un pays, une région dans un pays ou une ville dans une région et un pays.

Terminal

Un terminal représente une ou plusieurs adresses IP qui envoient ou reçoivent du trafic. Il peut s'agir d'une adresse IP spécifique, d'un sous-réseau en notation CIDR ou d'une des clés spéciales qui représentent des groupes prédéfinis.

Les groupes prédéfinis sont :

  • #surveillé (toutes les adresses IP de tous les périphériques surveillés WhatsUp)
  • #privé (toutes les adresses IP privées, 192.168.0.0.0/16, 10.0.0.0/8, etc.)
  • #suspect (Toutes les adresses IP jugées suspectes)

Emplacement des terminaux

Toutes les adresses IP situées dans une ville, une région et un pays d'envoi et de réception.

Type ICMP

Type ICMP. Des exemples de type ICMP sont « Echo Request » ou « Echo Reply » et plus selon la définition de l'IETF.

Application NBAR

Les applications NBAR sont l'application que le périphérique source détecte à l'aide de l'inspection des paquets NBAR. L'information du NBAR est généralement incluse dans les résumés de flux (lorsque vous utilisez le flux net flexible, par exemple). Sinon, vous pouvez également utiliser SNMP pour interroger le périphérique source pour obtenir des informations NBAR.

Taille de paquet

Filtrez sur la taille moyenne des paquets.

Port

Numéro de port sélectionné comme port de service dans un flux (80 pour HTTP, 21 pour FTP, et plus).

Destinataire

Une ou plusieurs adresses IP recevant du trafic.

Il peut s'agir d'une adresse IP spécifique, d'un sous-réseau en notation CIDR ou de l'une des clés spéciales qui désignent des groupes prédéfinis.

Ces groupes spéciaux sont :

  • #surveillé (toutes les adresses IP de tous les périphériques surveillés WhatsUp)
  • #privé (toutes les adresses IP privées, 192.168.0.0.0/16, 10.0.0.0/8, etc.)
  • #suspect (Toutes les adresses IP jugées suspectes)

ASN du destinataire

Toutes les adresses IP d'un même réseau avec le même numéro ASN recevant le trafic.

ASN signifie Autonomous system number et est un numéro unique utilisé par le Border Gateway Protocol (BGP).

Domaine du destinataire

Toutes les adresses IP d'un même domaine recevant du trafic. Pour obtenir le domaine, WhatsUp Gold extrait les deux parties les plus hautes du nom complet, à l'exception de certains pays - où trois parties sont utilisées pour identifier un domaine.

Par exemple, au Royaume-Uni ou au Japon, la deuxième partie identifie le type, et non la société, de sorte que le domaine BBC est BBC.co.uk.

Groupe de destinataires

Toutes les adresses IP du même groupe NTA recevant du trafic. Les clients peuvent sélectionner plusieurs groupes dans la liste déroulante.

Emplacement du destinataire

Toutes les adresses IP d'un même emplacement géographique (pays, région ou ville) recevant du trafic. Les clients peuvent sélectionner plusieurs emplacements dans la liste déroulante.

TLD du destinataire

Toutes les adresses IP avec le même domaine de premier niveau (TLD) recevant du trafic. Le TLD est extrait du nom complet et, dans la plupart des cas, identifie le pays du domaine enregistré - à l'exception des États-Unis qui identifie le type COM, EDU, ORG, et plus.

Expéditeur

Une ou plusieurs adresses IP envoyant du trafic. L'expéditeur peut être une adresse IP spécifique, un sous-réseau en notation CIDR ou une des clés spéciales qui désignent des groupes prédéfinis.

Ces groupes spéciaux sont :

  • #surveillé (toutes les adresses IP de tous les périphériques surveillés WhatsUp)
  • #privé (toutes les adresses IP privées, 192.168.0.0.0/16, 10.0.0.0/8, etc.)
  • #suspect (Toutes les adresses IP jugées suspectes)

ASN de l'expéditeur

Toutes les adresses IP d'un même réseau avec le même numéro ASN envoyant du trafic.

ASN signifie Autonomous system number et est un numéro unique utilisé par le Border Gateway Protocol (BGP).

Domaine de l'expéditeur

Toutes les adresses IP d'un même domaine qui envoient du trafic. Pour obtenir le domaine, WhatsUp Gold obtient les deux parties les plus élevées du nom pleinement qualifié, sauf pour certains pays où trois parties sont utilisées pour identifier un domaine.

Par exemple, au Royaume-Uni ou au Japon, la deuxième partie identifie le type, et non la société, de sorte que le domaine BBC est BBC.co.uk.

Groupe de l'expéditeur

Toutes les adresses IP d'un même trafic d'envoi du groupe NTA.

Emplacement de l'expéditeur

Affiche le trafic envoyé par les périphériques dont les adresses IP sont enregistrées dans un pays, un état, une subdivision territoriale ou une ville

TLD de l'expéditeur

Affiche le trafic envoyé par les domaines qui disposent du domaine de niveau supérieur spécifié (.com, .net, .us ou .uk).

Indicateurs TCP

Le trafic TCP affiche généralement un ou plusieurs des indicateurs TCP spécifiques (SYN, ACK, FIN, RST, ECE, PSH, URG, CWR). Les flux contiennent l'accumulation des drapeaux TCP utilisés pendant la durée de vie des flux. (Par exemple, les flux dont seul l'indicateur SYN est activé sont des indicateurs de tentatives de connexion qui n'ont jamais été validées avec un message SYN-ACK).

Type de service

Filtrer par identifiant de type de service (ToS).

Tip: Vous pouvez saisir un numéro de port plutôt qu'un nom d'application pour afficher tout le trafic transmis sur un port précis.

See Also

Analyse du trafic réseau

Commencez à analyser votre réseau !

Avant de commencer

Caractéristiques et avantages de NTA

Choix des sources NTA

Configuration et activation de la collecte dans les sources

Création de sources d'agrégats

Agrégation des sources

Regroupement du trafic

Classification du trafic par numéro de port (applications NTA)

Ajout de libellés personnalisés pour les ID Type de service (ToS)

Maintenance de la base de données du collecteur

Paramètres d'analyse du trafic réseau

Bibliothèque de réputation d'IP

Paramètres de port d'écoute, de collecte et de conservation