Руководство пользователя Версия 1 Copyright 19992015 TamoSoft Содержание
 Скачать 2.74 Mb.
|
|
Загрузить log-файлы CommView – открывает и загружает файлы в собственном формате CommView for WiFi. Импорт log-файлов – импортирует Log-файлы, созданные другими анализаторами пакетов. Экспорт log-файлов – экспортирует отображаемые пакеты в Log-файлы нескольких форматов. Очистить окно – очищает окно со списком пакетов. Сгенерировать статистику… – получение статистики по пакетам, загруженным в утилиту просмотра Log-файлов. При желании можно сбросить уже имеющиеся значения в окне Статистика. Эта функция не покажет распределение пакетов во времени, она ограничена общими сведениями, гистограммами протоколов и таблицами хостов LAN. Передать в VoIP-анализатор – передает пакеты из текущего окна Log Viewer в окно VoIP- анализатора с целью дальнейшего VoIP-анализа. Закрыть окно – закрывает окно просмотра. Поиск Найти пакет… – вызывает диалог поиска пакета, содержащего определенный текст. Перейти к пакету с номером… - вызывает диалог перехода к пакету с указанным номером.     25 Работа с программой | CommView for WiFi  Правила Применить текущие – применить текущий набор правил на пакеты, отображаемые утилитой. В результате, программа удалит пакеты, не отвечающие указанным правилам. Файл на диске при этом не изменяется. Из файла… – то же, что и по команде Применить текущие, но позволяет воспользоваться заранее сохраненными настройками фильтров в файлах .RLS, а не текущими. 26 Работа с программой | CommView for WiFi Правила CommView for WiFi позволяет вам использовать правила двух видов: Первый вид (беспроводные правила) позволяют вам фильтровать пакеты по их типу: Data, Management и Control. Для того чтобы включить или выключить захват таких пакетов, используйте команду Правила в меню программы или соответствующие кнопки панели инструментов. В дополнение к этому вы можете включить или выключить захват beacon-пакетов, используя команду меню Игнорировать beacon-пакеты. Второй вид (обычные правила) позволяет вам фильтровать пакеты по множеству критериев. Для установки этих правил перейдите в закладку Правила главного окна программы. Если установлено одно или несколько правил, то при отображении пакетов программа будет учитывать всю совокупность правил и покажет только те пакеты, которые подходят под эти правила. Если правило активно, то название соответствующие страницы выделяется жирным шрифтом. строке состояния показано количество активных обычных правил. Здесь не показано количество активных беспроводных правил, поскольку состояние кнопок на панели инструментов ясно указывает, какое беспроводное правило активно в данный момент. Также помните, что беспроводные правила имеют преимущество перед обычными. Все захваченные пакеты сначала "проходят" через беспроводные правила, и только после этого происходит дальнейшая обработка. Если, к примеру, ни одна из трех кнопок беспроводных правил не нажата, программа не отобразит никаких пакетов. Используя команду меню Правила, можно сохранять настройки правил в файле и загружать их, когда это потребуется. Так как сетевой трафик часто может создавать большое количество пакетов, рекомендуется использовать правила для фильтрации ненужных пакетов. Это может значительно снизить объем системных ресурсов, используемых программой. Если вы хотите включить/выключить какое-либо правило, выберите соответствующий раздел с левой стороны окна (например, IP-Адреса или Порты). Затем установите или снимите соответствующий флажок - Включить правила для IP-адресов или Включить правила для портов. Виды правил рассмотрены ниже. Протоколы Позволяет игнорировать или перехватывать пакеты, основываясь на протоколах 2-го (Ethernet) и 3-го (IP) уровней, а также на направлениях пакетов. 27 Работа с программой | CommView for WiFi  этом примере показано, как перехватывать только входящие и исходящие пакеты ICMP и UDP. Все остальные пакеты семейства IP, а также транзитные, будут проигнорированы. MAC-адреса Позволяет игнорировать или перехватывать пакеты, основываясь на аппаратных MAC-адресах. Введите MAC-адрес в поле Добавить запись, выберите направление: В направлении к…, В направлении от… или В любом направлении. Затем и нажмите Добавить MAC-адрес и новое правило будет отображено. Далее следует выбрать действие, которое будет совершено при обработке нового пакета: он может быть либо перехвачен, либо проигнорирован. Список IP-алиасов можно получить, нажав на кнопку MAC-псевдонимы. 28 Работа с программой | CommView for WiFi  этом примере показано, как игнорировать пакеты, идущие от 0A:DE:34:0F:23:3E. Пакеты с других MAC-адресов будут перехватываться программой. IP-адреса Позволяет игнорировать или перехватывать пакеты, основываясь на IP-адресах. Введите IP- или IPv6-адрес в поле Добавить запись, выберите направление: В направлении к…, В направлении от… или В любом направлении. Затем нажмите Добавить IP-адрес и новое правило будет отображено. Далее следует выбрать действие, которое будет совершено при обработке нового пакета: он может быть либо перехвачен, либо проигнорирован. Список IP-алиасов можно получить, нажав на кнопку MAC-псевдонимы. Чтобы показать соответствующий MAC-адрес, следует выбрать нужный IP-алиас из списка. 29 Работа с программой | CommView for WiFi  этом примере показано, как накапливать пакеты, идущие к 63.34.55.66, идущие к/от 207.25.16.11 и идущие со всех адресов в диапазоне 194.154.0.0 -:- 194.154.255.255. Все пакеты, идущие с/на другие адреса будут проигнорированы. Так как IP-адреса используются в IP-протоколе, такая конфигурация заставит программу игнорировать все пакеты, не принадлежащие к IP. Для работы с адресами IPv6 требуется версия Windows XP или выше, а также установленный протокол IPv6. Порты Позволяет игнорировать или перехватывать пакеты, основываясь на номерах портов. Введите номер порта в поле Добавить запись, выберите направление: В направлении к…, В направлении от… или В любом направлении. Затем нажмите Добавить порт и новое правило будет отображено. Далее следует выбрать действие, которое будет совершено при обработке нового пакета: он может быть либо перехвачен, либо проигнорирован. Чтобы добавить порт в список, дважды щелкните мышью по его номеру. Порты также можно добавлять с использованием из символьных имен, например, http или pop3, а программа затем преобразует введенные значения в численные. 30 Работа с программой | CommView for WiFi  этом примере показано, как игнорировать пакеты, идущие из порта 80 и идущие из/в порт 137. Это правило позволит CommView for WiFi игнорировать входящий HTTP-трафик наряду с входящим/исходящим трафиком NetBIOS Name Service. Пакеты, проходящие между портами, будут перехвачены. TCP-флаги Позволяет игнорировать или перехватывать пакеты, основываясь на TCP-флагах. Выберите флаг или комбинацию флагов в поле Добавить запись и нажмите Добавить флаги. Новое правило будет отображено. Далее следует выбрать действие, которое будет совершено при обработке нового пакета с TCP-флагом: он может быть либо перехвачен, либо проигнорирован. 31 Работа с программой | CommView for WiFi  этом примере показано, как игнорировать TCP-пакеты с установленными флагами PSH и ACK. Пакеты с другими флагами будут перехвачены. Текст Позволяет перехватывать пакеты, содержащие определённый текст. Введите строку в поле Добавить запись и нажмите Добавить текст. Новое правило будет отображено. Далее следует выбрать действие, которое будет совершено при обработке нового пакета: он может быть либо перехвачен, либо проигнорирован. 32 Работа с программой | CommView for WiFi  этом примере показано, как перехватывать только те пакеты, которые содержат текст "GET". При необходимости установите флажок С учётом регистра, если вы хотите сделать правила регистрозависимыми. Выберите опции UTF8 или UTF16, если вы хотите, чтобы перехватывались пакеты с текстом только в соответствующей кодировке. Все остальные пакеты, не содержащие вышеуказанного текста, будут игнорированы. Если вы хотите создать правило, основанное на hex-последовательности байтов, когда строку нельзя напечатать (например, 0x010203), используйте Универсальные правила. Универсальные правила Универсальные правила являются мощным и гибким механизмом создания фильтров с помощью булевой логики. 33 Работа с программой | CommView for WiFi Универсальные правила Универсальные правила являются мощным и гибким механизмом создания фильтров с помощью булевой логики. Требуются лишь элементарные знания математики и логики; синтаксис правил несложен для понимания.  Обзор Чтобы создать новое правило, задайте ему произвольное имя в поле Имя, выберите действие (Захват пакетов/Игнорировать пакеты), в поле Формула задайте формулу, пользуясь синтаксисом, описанным ниже, и нажмите Добавить/Изменить. Новое правило будет добавлено в список и немедленно активизировано. Вы можете задать неограниченное количество правил, но активными из них буду лишь те, возле которых будет установлена метка. Любое правило можно включить/выключить, изменяя соответствующий флажок, либо совсем удалить правило с помощью кнопки Удалить. Если активны сразу несколько правил, вы можете выполнить комбинированное правило, нажав на кнопку Оценить. Обратите внимание, что несколько позитивных правил ("Захват") объединяются логическим оператором OR ("ИЛИ"), т.е. для трех активных правил RULE1, RULE2, RULE3, результирующим будет правило RULE1 OR RULE2 OR RULE3. Если вы также используете негативные правила ("Игнорировать"), то они будут добавлены в результирующее правило с логическим оператором AND ("И"), так как результирующее правило с логическим оператором OR ("ИЛИ") не имеет смысла. Можно пользоваться составными правилами совместно с обычными, описанными в предыдущей главе. Однако, если вы владеете булевой логикой, рекомендуем пользоваться только составными, так как они более гибки. Обычные правила объединяются с составными с помощью логического оператора AND ("И"). 34 Работа с программой | CommView for WiFi Описание синтаксиса dir – Направление пакета. Возможные значения - in (входящий), out (исходящий) и pass (транзитный). etherproto – Протокол Ethernet (13-й и 14-й байты пакета). Допустимыми значениями являются числа (например, etherproto=0x0800 соответствует протоколу IP) или известные аббревиатуры (например, etherproto=ARP, что соответствует 0x0806). ipproto – Протокол IP. Допустимыми значениями являются числа (например, ipproto!=0x06 соответствует протоколу TCP) или известные аббревиатуры (например, ipproto=UDP, что соответствует 0x11). smac – MAC источника. Допустимыми значениями являются MAC-адреса источников в шестнадцатеричном виде (например, smac=00:00:21:0A:13:0F) или алиасы. dmac – MAC получателя. sip – IP- или IPv6-адрес источника. Допустимыми значениями являются IP-адреса, записанные через точку (например, sip=192.168.0.1), IP-адреса с карт-бланшами (то есть, sip!=*.*.*.255, кроме адресов IPv6), сетевые адреса с масками подсетей (например, sip=192.168.0.4/255.255.255.240 или sip=192.168.0.5/28), диапазоны IP-адресов (то есть, sip from 192.168.0.15 to 192.168.0.18 или sip in 192.168.0.15 ... 192.168.0.18) или алиасы. Для работы с адресами IPv6 требуется версия Windows XP или выше, а также установленный протокол IPv6. dip - IP-адрес получателя. sport – Номер порта-источника пакета TCP или UDP. Допустимыми значениями являются числа (например, sport=80 соответствует HTTP), диапазоны (то есть, sport from 20 to 50 или sport in 20..50 для любых портов в диапазоне от 20 до 50) или алиасы, известные операционной системе (например, sport=ftp, что соответствует порту 21). Проверить список алиасов, известных ОС, можно нажав Вид => Информация о портах. dport – Порт-получатель пакетов TCP или UDP. flag – Флаг TCP. Допустимыми значениями являются числа (например, 0x18 соответствует PSH ACK), одна или несколько букв из следующего списка: F (FIN), S (SYN), R (RST), P (PSH), A (ACK) и U (URG) или ключевое слово has, означающее, что флаг содержит определенное значение. Например: flag=0x18, flag=SA, flag has F. size – Размер пакета. Допустимыми значениями являются числа (например, size=1514) или диапазоны (size from 64 to 84 или size in 64..84 для размеров с 64 до 84 байтов). |