Home
Contents

LAN Analyzer and Protocol Decoder - CommView
Prev Page Next Page
 
Einführung
Über CommView
Was ist neu
Programmbenutzung
Überblick
Netzwerkschnittstelle zur Paketerfassung auswählen
Aktuelle IP Verbindungen
Pakete
Protokollierung
Logbetrachter
Regeln
Erweiterte Regeln
Alarme
Rekonstruktion von TCP-Sitzungen
UDP-Ströme rekonstruieren
Pakete suchen
Statistiken und Berichte
Die Verwendung von Kennnamen
Paketgenerator
Optischer Paketersteller
NIC Vendor (Hersteller) Identifier (Identifiziertool)
Scheduler
Der Einsatz des Remote Agent
RPCAP anwenden
Entschlüsselten SSL-Datenverkehr erfassen
Loopback Datentransfer erfassen
Port Referenz
Einstellungen
Häufig gestellte Fragen
VoIP-Analyse
Einleitung
Arbeiten mit dem VoIP-Analyser
SIP- und H.323-Sitzungen
RTP-Ströme
Registrierungen
Endpunkte
Fehler
Anrufprotokoll
Berichte
Anrufswiedergabe
VoIP-Protokollbetrachter
Arbeiten mit Auflistungen im VoIP-Analyser
NVF-Dateien
Weiterführende Themen
Erfassung von intensivem Verkehr
Arbeiten mit mehreren Instanzen
CommView im nichtsichtbaren Modus
Kommandozeilen Parameter
Datenaustausch mit Ihrer Anwendung
Maßgeschneidertes Decoding
CommView Logdateien Format
Information
Einkauf und Support

Alarme

Dieses Register ermöglicht es Alarme zu erzeugen, die Sie über bestimmte Ereignisse informieren, wie verdächtige Pakete, starke Bandbreitennutzung, unbekannte Adressen usw. Solche Alarme sind sehr nützlich, wenn Sie das Netzwerk auf bestimmte verdächtige Ereignisse überwachen, wie auffällige Bytemuster in den empfangenen Paketen, Portscans oder unerwartete Hardwareverbindungen.

Alarme werden über die folgende Liste verwaltet:

alarm

Jede Zeile entspricht einem separaten Alarm und diee Checkbox daneben zeigt, ob der Alarm gegenwärtig aktiv ist. Wenn ein Alarm ausgelöst wird verschwindet die Checkbox. Um einen deaktivierten Alarm wieder zu aktivieren markieren Sie erneut die Checkbox neben dem Alarmnamen. Um alle Alarme zu deaktivieren, leeren Sie die Liste Alarme aktivieren. Um einen neuen Alarm zu editieren oder zu löschen verwenden Sie bitte die gleichnamigen Buttons im rechten Teil des Dialogs. Mittels des Button [E-Mail-Setup] können Informationen zu Ihrem SMTP-Server eingegeben werden, wenn Sie E-Mail-Benachrichtigung wünschen (s. u.).

Das Alarmeinstellungsfenster wird unten gezeigt:

alarm

Das Feld Name sollte für die Beschreibung der Alarmfunktion genutzt werden. Aktivieren Sie die Checkbox Aktiviert wenn der Alarm nach dem Hinzufügen/Editieren bei Beendigung des Setup aktiviert werden soll. Diese Checkbox entspricht der in der Alarmliste. Mit dem Auswahlbereich Alarm Typ wählen Sie einen von sieben Alarmen aus:

·Paket-Ereignis: CommView löst den Alarm aus, wenn es ein Paket empfängt, das einer bestimmten Formel entspricht. Die Formelsyntax entspricht der Syntax für die Fortgeschrittenenregeln. Mehr dazu unter Erweiterte Regeln.

·Bytes/Sekunde: Der Alarm wird ausgelöst, wenn die Byteanzahl/Sekunde einen Grenzwert über- bzw. unterschreitet. Bitte beachten Sie, dass der Wert in Bytes eingegeben werden muss, so dass bei einem gewünschten Alarm ab 1 Mbyte/Sekunde ein Wert von 1000000 eingegeben werden muss.

·Pakete/Sekunde: Der Alarm wird ausgelöst, wenn die Anzahl der Pakete/Sekunde einen Grenzwert über- bzw. unterschreitet.

·Broadcasts/Sekunde: Der Alarm wird ausgelöst, wenn die Anzahl der Broadcast-Pakete/Sekunde einen Grenzwert über- bzw. unterschreitet.

·Multicasts/Sekunde: Der Alarm wird ausgelöst, wenn die Anzahl der Multicast-Pakete/Sekunde einen Grenzwert über- bzw. unterschreitet.

·Unbekannte MAC-Adr.: Der Alarm wird ausgelöst, wenn CommView ein Paket von einer unbekannten Quell- oder zu einer unbekannten Ziel-MAC-Adresse empfängt. Mittels des Buttons [Konfigurieren] können Sie eine bekannte MAC-Adresse eingeben. Dieser Alarm ist nützlich, um neue unautorisierte Geräte zu erkennen, die mit Ihrem LAN verbunden sind.

·Unbekannte IP-Adresse: Der Alarm wird ausgelöst, wenn CommView ein Paket mit einer unbekannten Quell- oder Ziel-IP-Adresse oder IPv6-Adresse empfängt. Mittels des Buttons [Konfigurieren] können Sie eine bekannte IP-Adresse eingeben. Dieser Alarm ist nützlich, um unautorisierte IP-Verbindungen hinter einer Firmen-Firewall zu entdecken. Die Benutzung von IPv6-Adressen erfordert Windows XP oder höher und die IPv6-Stapelung muss installiert sein.

Das Eingabefeld Erford. Anzahl Ereignisse für Alarm: ermöglicht Ihnen den Schwellenwert für die Ereignisanzahl festzulegen, um einen Alarm auslösen zu lassen. Wenn Sie z. B. einen Wert von 3 wählen, wird ein Alarm erst ausgelöst, wenn das entsprechende Ereignis dreimal auftaucht. Wenn Sie einen bereits existierenden Alarm editieren, wird der Zähler auf Null zurückgesetzt.

Das Eingabefeld Max. Anzahl Auslösungen des Alarms: ermöglicht es Ihnen die Anzahl der Alarme festzulegen, bevor diese deaktiviert werden. Standardeinstellung ist hier 1, so dass nach dem ersten Alarm dieser deaktiviert wird. Wenn Sie diesen Wert erhöhen, wird CommView ihn mehrmals auslösen. Wenn Sie einen Alarm editieren, wird der Zähler auf Null zurückgesetzt.

Im Bereich Aktion wählen sie die mit dem Alarm auszulösenden Ereignisse. Folgende Aktionen stehen zur Wahl:

·Nachrichten anzeigen - Zeigt eine non-modale Meldungsbox mit dem definierten Text. Mit dieser Aktion können Sie Variablen verwenden, die im Alarmfall durch die entsprechenden Parameter des Paketes, das den Alarm hervorrief, ersetzt werden. Diese Variablen sind:

%SMAC% -- Quell-MAC-Adresse.

%DMAC% -- Ziel-MAC-Adresse.

%SIP% -- Quell-IP-Adresse.

%DIP% -- Ziel-IP-Adresse.

%SPORT% -- Quell-Port.

%DPORT% -- Ziel-Port.

%ETHERPROTO% -- Ethernet-Protokoll.

%IPPROTO% -- IP-Protokoll.

%SIZE% -- Paketgröße.

%FILE% -- Pfad zu einer temporären Datei, die das empfangene Paket enthält.

·So wird z. B. in Ihrer Nachricht in der Meldung "SYN Paket von %SIP%," im aktuellen Popup Windowtext %SIP% ersetzt werden durch die Quell-IP-Adresse des alarmauslösenden Paketes. Wenn Sie die %FILE%-Variable verwenden, wird eine NCF-Datei in einem temporären Verzeichnis erzeugt. Es liegt in Ihrer Verantwortung diese Datei nach der Bearbeitung zu löschen. Sie sollten keine Variablen verwenden, wenn der Alarm ausgelöst wurde von Bytes/Sekunde - oder Pakete/Sekunde-Werten, da diese Alarme nicht von individuellen Paketen ausgelöst werden.

·Nachricht sprechen - Lässt Windows, unter Benutzung der Text-to-speech engine, die Nachricht sprechen. Diese Checkbox ist abgeschaltet, wenn Ihre Windows-Version keine Text-to-speech engine besitzt. Standardmäßig kommt Windows nur mit englischen Computerstimmen, sodass Windows nicht in der Lage ist, Nachrichtentext in anderen Sprachen als englisch korreckt auszusprechen. Sie können die in der Sektion Nachrichten anzeigen beschriebenen Variablen im Nachrichtentext benutzen.

·Akustisches Signal - Spielt die gewählte WAV-Datei ab.

·Applikation starten - Startet die ausgewählte EXE- oder COM-Datei. Mit dem optionalen Feld Parameter: können in der Befehlszeile Parameter eingegeben werden. Die Variablen, die in der Sektion Nachrichten anzeigen: beschrieben wurden können als Befehlszeilenparameter eingegeben werden, sofern Sie möchten, dass die Anwendung Informationen über das alarmauslösende Paket empfängt und bearbeitet.

·E-Mail senden an – Sendet eine E-mail an eine definierte Adresse. CommView MUSS konfiguriert werden, um Ihren SMPT-Server vor dem Senden der E-Mail nutzen zu können. Mittels des Buttons E-Mail-Einstellungen neben der Alarmliste können Sie Ihre SMPT-Server-Einstellungen eingeben und eine Test-E-Mail absenden. Man kann E-Mail-Benachrichtigungen auch an Instant Messenger-Anwendungen, Handy oder Pager senden. Um z. B. eine Nachricht an einen ICQ-User zu senden, geben Sie die E-Mail-Adresse als ICQ_USER_UIN@pager.icq.com ein, wobei ICQ_USER_UIN die eindeutige ICQ-Identifikationsnummer ist. Dazu müssen die EmailExpress Messages in den ICQ-Optionen aktiviert sein. Mehr dazu in Ihrem Instant Messenger- oder Handy-Handbuch. Das Feld Text hinzufügen kann zum Hinzufügen einer beliebigen Nachricht zur E-Mailbenachrichtigung genutzt werden. Sie können die in der Sektion Nachrichten anzeigen beschriebenen Variablen im Nachrichtentext benutzen.Applikation starten - Startet die ausgewählte EXE- oder COM-Datei. Mit dem optionalen Feld Parameter: können in der Befehlszeile Parameter eingegeben werden. Die Variablen, die in der Sektion Nachrichten anzeigen: beschrieben wurden können als Befehlszeilenparameter eingegeben werden, sofern Sie möchten, dass die Anwendung Informationen über das alarmauslösende Paket empfängt und bearbeitet.

·E-Mail senden an – Sendet eine E-mail an eine definierte Adresse. CommView MUSS konfiguriert werden, um Ihren SMPT-Server vor dem Senden der E-Mail nutzen zu können. Mittels des Buttons E-Mail-Einstellungen neben der Alarmliste können Sie Ihre SMPT-Server-Einstellungen eingeben und eine Test-E-Mail absenden. Man kann E-Mail-Benachrichtigungen auch an Instant Messenger-Anwendungen, Handy oder Pager senden. Um z. B. eine Nachricht an einen ICQ-User zu senden, geben Sie die E-Mail-Adresse als ICQ_USER_UIN@pager.icq.com ein, wobei ICQ_USER_UIN die eindeutige ICQ-Identifikationsnummer ist. Dazu müssen die EmailExpress Messages in den ICQ-Optionen aktiviert sein. Mehr dazu in Ihrem Instant Messenger- oder Handy-Handbuch. Das Feld Text hinzufügen kann zum Hinzufügen einer beliebigen Nachricht zur E-Mailbenachrichtigung genutzt werden. Sie können die in der Sektion Nachrichten anzeigen beschriebenen Variablen im Nachrichtentext benutzen.

·Erfassungsregeln aktivieren Aktiviert Erweiterte Regeln; Sie müssen den Regelname eingeben. Mehrere Regeln werden komma- bzw. semikolongetrennt eingegeben.

·Andere Alarme deaktivieren – Deaktiviert andere Alarme. Sie sollten dabei den Alarmnamen eingeben. Mehrere Regeln werden komma- bzw. semikolongetrennt eingegeben.

·Logging starten - Startet die Autospeicherung (s. Kapitel Protokollierung). CommView beginnt dann Pakete auf der Festplatte abzulegen.

·Logging stoppen: beendet die Autospeicherung.

Klicken Sie auf [OK] um die Einstellungen abzuspeichern und das Alarmdialogfenster zu schliessen.

Alle Ereignisse und Aktionen, die mit den Alarmen zu tun haben, finden Sie im Bereich Ereignislog unterhalb der Alarmliste.