Конфигурирование триггеров
Триггер проверяет кадры по мере их прохождения. Сетевой монитор собирает данные, чтобы найти кадры, удовлетворяющие некоторым критериям. Если они удовлетворяют заданному условию, то сетевой монитор выполнит некоторые заданные действия. Это весьма мощный инструмент, открывающий почти неограниченные возможности. Очень простой триггер, который не даст потерять данные во время сеанса мониторинга, создается с помощью выбора триггера на пространстве буфера, выбирая 100% для задания пространства буфера и задавая затем действие триггера как остановку перехвата.
Чтобы несколько усовершенствовать этот триггер, напишите простой пакетный файл, который будет выполнять команду net send, уведомляя, что перехват данных остановлен, а затем прикажите триггеру выполнить этот пакетный файл (с расширением .bat), когда перехват данных остановится.
Этот пакетный файл может состоять только из одной строки и выглядеть как файл, представленный ниже. Его можно написать в notepad и затем переименовать файл с расширением .txt в файл с расширением .bat и указать в командной строке его расположение.
Использование триггеров может стать очень сложным, когда вводятся элементы смещения шаблона. Используя смещения шаблона, сетевой монитор может идентифицировать широкое множество событий и выполнить все, что можно выполнить из командной строки — включая другой экземпляр сетевого монитора на другой машине. Использование шестнадцатерич-ной панели для идентификации смещения и шаблона для определения события, которое будет за этим инициироваться, может определить эти смещения шаблона. Это делается таким же способом, который рассматривался ранее в этой главе в разделе о разработке фильтров перехвата.
