<< Кликните, чтобы показать Содержание >> Руководство Администратора | CHM EPUB PDF A4/Letter    Служба EtherSensor EtherCAP

Служба EtherSensor EtherCAP отвечает за пассивный захват трафика на сетевых адаптерах.

EtherSensor EtherCAP извлекает из обрабатываемого трафика объекты уровня приложения (L7 согласно модели OSI), и затем передаёт эти объекты для дальнейшей обработки в службу EtherSensor Analyser.

EtherSensor EtherCAP может обрабатывать следующие протоколы третьего уровня модели OSI:

IP:

Обычный трафик

GRE:

Туннелированный трафик: например, соединения нешифрованного протокола Ethernet over GRE или IP-over-IP

IPv6-over-IPv4:

Инкапсулированный протокол IPv6. Как правило, встречается в крупных сетях и на магистральных каналах.

Во всех случаях EtherSensor обрабатывает в основном TCP- и UDP-потоки.

В текущей версии EtherSensor (6.1) служба EtherSensor EtherCAP может распознавать и обрабатывать  следующие наиболее часто используемые интернет протоколы передачи данных уровня приложения:

HTTPv1/HTTPv2:

Все виды запросов, передача сообщений, передача файлов.

SMTP:

Передача исходящих почтовых сообщений.

POP3:

Передача входящих почтовых сообщений.

IMAP4:

Передача входящих и исходящих почтовых сообщений.

ICQ:

Передача входящих и исходящих мгновенных сообщений, списков контактов, файлов.

DC:

Передача мгновенных сообщений по протоколам NMDC и ADC (DC++).

LOTUS:

Передача почтовых сообщений, календарей, задач системы Lotus Notes.

MRA:

Передача мгновенных сообщений, списков контактов и файлов при помощи утилиты Mail.Ru Агент.

MSN:

Передача мгновенных сообщений, списков контактов и файлов при помощи утилиты MSN.

XMPP:

Передача мгновенных сообщений, списков контактов и файлов при помощи XMPP-клиентов (Google Talk и др.)

IRC:

Передача мгновенных сообщений и файлов.

SKYPE:

Детектирование факта использования клиентов skype, извлечение сообщений.

SSL:

Детектирование факта использования протокола SSL.

TORRENT:

Детектирование факта использования Torrent-клиентов.

FTP:

Передача файлов.

YAHOO:

Передача мгновенных сообщений, файлов.

ICAP:

Перехват данных, передаваемых по протоколу ICAP.

SOCKS:

Перехват данных, передаваемых по протоколу SOCKS.

WEBSOCKET:

Перехват данных, передаваемых по протоколу WEBSOCKET.

Общая схема работы службы EtherSensor EtherCAP:

Рис.8. Схема работы службы EtherSensor EtherCAP

Служба EtherSensor EtherCAP позволяет вести одновременный перехват трафика со всех доступных Ethernet интерфейсов, а также отслеживать локальные директории для обработки помещённых в них PCAP-файлов.

Размер необходимых аппаратных ресурсов на каждый прослушиваемый сетевой интерфейс можно рассчитать исходя из того, что среднее количество памяти, необходимое для обработки одного TCP соединения составляет приблизительно 40 Кбайт:

Таким образом, для одновременного отслеживания 10000 TCP сессий через сетевой интерфейс с пропускной способностью 1 Gbps серверу EtherSensor необходимо иметь следующее количество доступной  физической памяти:

200 МБ + 10000 * 40 КБ   – около 600 МБ

Служба EtherSensor EtherCAP позволяет для оптимизации обработки трафика назначать для каждого прослушиваемого сетевого интерфейса  пакетный фильтр, а также сетевые протоколы, которые необходимо отслеживать.

Варианты организации работы службы EtherSensor EtherCAP:

Рис.9. Варианты организации работы службы EtherSensor EtherCAP.

Параметры командной строки

Служба Windows EtherSensor EtherCAP в ходе инсталляции EtherSensor устанавливается с автоматическим запуском. Однако, при необходимости процесс sensor_ethercap.exe можно запустить как приложение Windows со следующими параметрами командной строки:

/process

Запустить процесс sensor_ethercap.exe как обычный Windows Win32-процесс (возможно использование для отладки).

/service

Запустить как службу Windows.

/config

Сохранить конфигурацию службы по умолчанию.