Файл конфигурации EtherSensor EtherCAP

<< Кликните, чтобы показать Содержание >>

Руководство Администратора | CHM EPUB PDF A4/Letter   

Файл конфигурации EtherSensor EtherCAP

Конфигурация службы EtherSensor EtherCAP содержится в XML-файле ethcap.xml, расположенном в общей директории конфигураций Microolap EtherSensor [INSTALLDIR]\config

<?xml version="1.0" encoding="utf-8"?>

<EtherCapConfig version="4.2"

 flow_count="16"

 flow_buff_count="512"

 flow_buff_size="524288">

  <NetworkAdapters>

   <NetworkAdapter enabled="true" rss="true" mac="00-1F-C6-2D-EA-40"

    description="Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller">

     <Filter enabled="true" name="internet" />

     <Protocol enabled="true" name="dc" />

     <Protocol enabled="true" name="ftp" />

     <Protocol enabled="true" name="http" />

     <Protocol enabled="true" name="icq" />

     <Protocol enabled="true" name="imap4" />

     <Protocol enabled="true" name="irc" />

     <Protocol enabled="true" name="lotus" />

     <Protocol enabled="true" name="mra" />

     <Protocol enabled="true" name="msn" />

     <Protocol enabled="true" name="pop3" />

     <Protocol enabled="true" name="skype" />

     <Protocol enabled="true" name="smtp" />

     <Protocol enabled="true" name="ssl" />

     <Protocol enabled="true" name="xmpp" />

     <Protocol enabled="true" name="yahoo" />

   </NetworkAdapter>

  </NetworkAdapters>

 

 <Filters>

  <Filter name="default">

   <RuleGroup enabled="true" name="">

    <Rule type="accept" src="any" srcport="any" dst="any" dstport="any" proto="tcp" comment="Comment to the rule" />

   </RuleGroup>

  </Filter>

 

  <Filter name="internet">

   <RuleGroup enabled="true" name="">

    <Rule type="reject" src="192.168.0.1" srcport="any" dst="any" dstport="any" proto="tcp" comment="Comment to the rule" />

    <Rule type="reject" src="*" srcport="any" dst="192.168.0.1" dstport="any" proto="tcp" />

    <Rule type="accept" src="any" srcport="any" dst="any" dstport="any" proto="tcp" />

   </RuleGroup>

  </Filter>

 </Filters>

</EtherCapConfig>

Тег EtherCapConfig

Корневой тег конфигурации EtherSensor EtherCAP. Атрибут "version" содержит версию файлов конфигурации.

Атрибут "flow_count" содержит количество потоков, одновременно обрабатывающих трафик. Весь перехватываемый трафик равномерно распределяется между потоками обработки. Распределение трафика происходит на уровне ядра операционной системы, тем самым обеспечивается параллелизм обработки данных.

Атрибут "flow_buff_count" содержит количество буферов данных в потоке обработки трафика.

Этот параметр совместно с атрибутом "flow_buff_size" задаёт статический объём памяти, используемой для одного потока обработки.

Атрибут "flow_buff_size" содержит размер буфера данных в потоке обработки трафика (байты). Этот параметр совместно с атрибутом "flow_buff_count" задаёт статический объём памяти, используемой для одного потока обработки. Объём памяти для одного потока составляет "flow_buff_count" * "flow_buff_size" = 512 * 524288 = 256 МБ.

Указанные выше атрибуты используются для тонкой инженерной настройки Microolap EtherSensor и требуют глубокого понимания функционирования продукта. Не экспериментируйте с ними на рабочей системе.

Тег NetworkAdapters

Определяет настройки прослушиваемых сетевых интерфейсов.

Тег NetworkAdapter

Тег NetworkAdapter является вложенным в тег NetworkAdapters и содержит настройки конкретного сетевого интерфейса. Атрибут "enabled" содержит статус активности сетевого интерфейса, и если этот атрибут равен "false", то трафик, поступающий с этого интерфейса, будет игнорироваться.

Атрибут "rss" (true/false) содержит статус использования технологии Receive Side Scaling  (RSS). Это технология, которая равномерно распределяет нагрузку по обработке сетевых пакетов между ядрами процессора, позволяя оптимизировать производительность.

Атрибут "mac" содержит MAC-адрес сетевого интерфейса. Этот атрибут не должен изменяться, и предназначен только для чтения. Атрибут "description" содержит описание сетевого интерфейса и заполняется на усмотрение администратора.

Тег  Filter

Тег Filter является вложенным в тег NetworkAdapter и указывает на описание используемого IP-фильтра для данного сетевого интерфейса. Атрибут "enabled" содержит статус использования IP-фильтра, и если данный атрибут равен "false", то для данного сетевого интерфейса не будет использоваться IP-фильтр в обработке данных. Атрибут "name" содержит имя профиля IP-фильтра. Профили IP-фильтров указываются в теге Filters.

Тег  Protocol

Тег Protocol является вложенным в тег NetworkAdapter и содержит описание интернет-протокола, данные которого требуется обрабатывать. Атрибут "enabled" содержит статус обработки интернет-протокола, и если данный атрибут равен "false", то для данного сетевого интерфейса этот интернет-протокол будет игнорироваться. Атрибут "name" содержит имя интернет-протокола. Этот атрибут используется только для чтения и не подлежит изменению.

Пример:

Настройки сетевого интерфейса для перехвата сообщений клиентов DC, ICQ, IRC, MRA, MSN, XMPP/Jabber, YAHOO:

<NetworkAdapter enabled="true" mac="00-1F-C6-2D-EA-40"

  description="Marvell Yukon Controller

  88E8056 PCI-E Gigabit Ethernet">

 <Filter enabled="true" name="default" />

 <Protocol enabled="false" name="ftp" />

 <Protocol enabled="false" name="http" />

 <Protocol enabled="true" name="icq" />

 <Protocol enabled="true" name="irc" />

 <Protocol enabled="true" name="mra" />

 <Protocol enabled="true" name="msn" />

 <Protocol enabled="false" name="pop3" />

 <Protocol enabled="false" name="skype" />

 <Protocol enabled="false" name="smtp" />

 <Protocol enabled="true" name="xmpp" />

</NetworkAdapter>

Тег Filters

Определяет настройки профилей IP-фильтров.

Тег Filter

Тег Filter является вложенным в тег Filters и содержит настроек IP-фильтра. Атрибут "name" содержит имя профиля IP-фильтра. Значение данного атрибута может быть использовано в качестве значения атрибута "NetworkAdapter/Filter/name" для указания IP-фильтра сетевому интерфейсу.

Тег RuleGroup

Тег RuleGroup является вложенным в тег Filter и служит для группировки правил фильтрации, относящихся к конкретной решаемой задаче фильтрации трафика. Атрибут "name" содержит имя (или описание) группы правил фильтрации. Значение данного атрибута может оставаться пустым.

Тег Rule

Тег Rule является вложенным в тег RuleGroup и содержит описание правила фильтрации сетевого трафика. Атрибут "type" содержит тип правила, и если данный атрибут равен "accept", то сетевые пакеты, подходящие под данное правило, будут пропущены для дальнейшей обработки, иначе, если он равен "reject", сетевые пакеты, подходящие под данное правило будут отклонены. Атрибуты "src" и "dst" содержат IP-адрес, диапазон IP-адресов или параметры сети для фильтрации IP-адресов, подходящих под указанное значение. В атрибуте "comment" вы можете написать комментарий к правилу фильтрации пакетов.

Пример:

Отклонить пакеты, проходящие между компьютерами 10.1.5.10, 10.1.5.15-10.1.5.59 и сетью 10.1.6.0/255.255.255.0:

<Rule 

 type="reject"

 src="10.1.5.10, 10.1.5.15-10.1.5.59"

 dst="10.1.6.0/255.255.255.0"

 proto="tcp"

 comment="" />

 

<Rule type="reject"

 src="10.1.6.0/255.255.255.0"

 dst="10.1.5.10, 10.1.5.15-10.1.5.59"

 proto="tcp" />

В атрибутах "srcport" и "dstport" укажите необходимые для фильтрации TCP порты или диапазоны TCP портов.

Пример:

Отклонить пакеты, проходящие между компьютерами 10.1.5.10, 10.1.5.15-10.1.5.59 и сетью 10.1.6.0/255.255.255.0 на портах 80, 443-1024:

<Rule

 type="reject"

 src="10.1.5.10, 10.1.5.15-10.1.5.59"

 srcport="80, 443-1024"

 dst="10.1.6.0/255.255.255.0"

 proto="tcp" />

 

<Rule

 type="reject"

 src="10.1.6.0/255.255.255.0"

 dst="10.1.5.10, 10.1.5.15-10.1.5.59"

 dstport="80, 443-1024"

 proto="tcp" />

Правила применяются линейно сверху вниз. Верхняя строка – это первая инструкция фильтра, нижняя – последняя. Каждая строка отклоняет или принимает только тот тип пакетов, который она описывает.

Пример:

Отклонить пакеты соединения между двумя хостами или группой хостов. При этом должны быть отклонены пакеты, передаваемые в обе стороны соединения:

<Rule

 type="reject"

 src="10.31.5.212"

 dst="10.31.5.57"

 dstport="1025"

 proto="tcp" />

 

<Rule

 type="reject"

 src="10.31.5.57"

 srcport="1025"

 dst="10.31.5.212"

 proto="tcp" />

Также необходимо помнить, что если не определено ни одно правило фильтрации, то мы получаем весь трафик. И наоборот, если есть правила фильтрации, то обрабатывается только трафик, описанный этими правилами.

Пример:

Получить  все соединения только с хостом 10.31.5.57:

<Rule

 type="accept"

 src="10.31.5.57"

 srcport="*"

 dst="*"

 dstport="*"

 proto="tcp" />

 

<Rule

 type="accept"

 src="*"

 srcport="*"

 dst="10.31.5.57"

 dstport="*"

 proto="tcp" />

Пример:

Для того, чтобы отсечь группу хостов, необходимо сначала отклонить пакеты этой группы, затем обязательно пропустить все остальные пакеты, иначе весь трафик будет пропускаться без анализа:

<Rule

 type="reject"

 src="10.31.5.212"

 dst="10.31.5.57"

 dstport="1025"

 proto="tcp" />

 

<Rule

 type="reject"

 src="10.31.5.57"

 srcport="1025"

 dst="10.31.5.212"

 proto="tcp" />

 

<Rule

 type="accept"

 src="*"

 srcport="*"

 dst="*"

 dstport="*"

 proto="tcp" />

Таким образом можно отсекать трафик с нужной стороны прокси-сервера.

Пример:

Если описать правила, пропускающие трафик только для определённых хостов, и запретить остальной трафик, будет обрабатываться трафик только этих хостов:

<Rule

 type="accept"

 src="10.31.5.212"

 dst="10.31.5.57"

 dstport="1025"

 proto="tcp" />

 

<Rule type="accept"

 src="10.31.5.57"

 srcport="1025"

 dst="10.31.5.212"

 proto="tcp" />