Руководство пользователя Версия 1 Copyright 19992015 TamoSoft Содержание
 Скачать 2.74 Mb.
|
|
Начать запись пакетов: Включает автосохранение (смотрите главу Ведение Log-файлов); CommView for WiFi начнет запись перехваченных пакетов на диск. Завершить запись пакетов: Выключает автосохранение. Нажмите OK, чтобы сохранить настройки и закрыть диалог настройки предупреждений. Все события, и относящиеся к ним действия, перечисляются в поле Запись Событий, которое находится под списком предупреждений.     42 Работа с программой | CommView for WiFi  Ключи WEP/WPA Для расшифровывания перехваченных пакетов можно ввести ключи в окне Ключи WEP/WPA. Без этих ключей программа не сможет расшифровать пакеты данных, передаваемые в вашей локальной беспроводной сети. Поскольку в некоторых сетях используется смешанный режим шифрования, когда идентификация производится по WEP и WPA, вы можете ввести ключ WEP и условную фразу-пароль WPA одновременно. WEP Стандарт позволяет использовать до четырех ключей WEP, так что вы можете указать один, два, три или четыре ключа. Длину ключа можно выбрать из выпадающего списка. Поддерживаемые значения – 64, 128, 152, и 256 бит, так что вам потребуется ввести шестнадцатеричные строки длиной 10, 26, 32 и 58 соответственно. WPA Стандарт WPA (защищенный доступ к WiFi) регламентирует количество режимов идентификации и шифрования. Не все из них поддерживаются программой CommView for WiFi из-за ограничений, связанных с ограничениями базовой модели безопасности. CommView for WiFi поддерживает расшифровывание WPA или WPA2 в режиме PSK с использованием протокола TKIP или AES/CCMP. Вы можете ввести как фразу-пароль, так и шестнадцатеричную строку длиной 64. Важно: информация о том, как CommView for WiFi обрабатывает трафик, шифрованный WPA, смотрите в главе Расшифровывание WPA. Если вы ввели новый WPA-пароль, вам может понадобится модуль Реассоциации узлов.  43 Работа с программой | CommView for WiFi Для сохранения текущего ключа нажмите Сохранить. Для загрузки ранее сохраненного ключа нажмите Загрузить. Ключи, загруженные или введенные в этом диалоге будут применены к пакетам, перехваченным в режиме реального времени, а также ко всем NCF-файлам, сохраненным ранее. Когда перехваченные пакеты сохраняются в файл NCF, те пакеты, которые были успешно расшифрованы будут сохранены в расшифрованном виде, а те пакеты, которые не могут быть расшифрованы будут сохранены в исходном виде. 44 Работа с программой | CommView for WiFi Реконструкция TCP-сессий помощью этой утилиты можно просмотреть процесс обмена между двумя хостами по TCP. Чтобы восстановить TCP- сессию, необходимо сначала выбрать пакет TCP в закладке Пакеты. В зависимости от установок (Искать начало сессии при реконструкции TCP-сессий в меню Настройка => Установки => Декодер), сессия будет восстановлена начиная с выбранного пакета, который может оказаться в середине сессии, либо с ее начала. Найдя и выбрав нужный пакет, щёлкните правой кнопкой мышки на нём, в появившемся меню выберите Реконструкция TCP-сессии, как показано здесь:  Процесс восстановления лучше всего работает для текстовых протоколов, таких как POP3, Telnet, или HTTP. Возможно также восстановление процесса пересылки большого ZIP-архива, но на обработку нескольких мегабайт данных CommView for WiFi потребуется слишком много времени. Кроме того, в большинстве случаев полученная информация будет бесполезна. В закладке Содержимое показаны фактические данные по сессии, а в закладке Анализ TCP-сессии показан поток реконструированной TCP-сессии. Ниже показан пример реконструкции HTTP-сессии, содержащей данные HTML, в режимах ASCII и HTML соответственно:  45 Работа с программой | CommView for WiFi  режиме отображения HTML гипертекстовые страницы обычно не содержат графических объектов, поскольку в рамках протокола HTTP изображения передаются отдельно. Для просмотра изображений обычно требуется перейти к следующей TCP-сессии. Ниже приведён пример HTTP-сессии, содержащей графические объекты, которые отображаются гипертекстовом режиме:  46 Работа с программой | CommView for WiFi По умолчанию, CommView for WiFi разархивирует web-трафик, сжатый с помощью GZIP, и восстанавливает изображения из бинарных потоков данных. Чтобы выключить эти опции, воспользуйтесь закладкой Декодер. Можно игнорировать данные из определенного источника, установив соответствующий флажок в нижней части окна. Для удобства входящие и исходящие данные помечены разным цветом. Если вы хотите изменить цветовую гамму, выберите Установки => Цвета и воспользуйтесь палитрой. Можно включить или выключить перенос слов: Установки => Перенос по словам. Выпадающее меню Логика отображения позволяет просматривать выбрать режимы просмотра ASCII (обычный текст), HEX (шестнадцатеричные данные), HTML (web-документы и картинки), EBCDIC (кодировка, используемая в мейнфреймах IBM) и UTF-8 (юникод). Учтите, что результаты просмотра данных в режиме HTML могут выглядеть несколько иначе, чем при просмотре настоящим браузером (вы не увидите графические объекты и т. п.), однако вполне можно представить, как выглядела данная страница на самом деле. Выбрать вид отображения по умолчанию можно в закладке Декодер. Кнопки навигации позволяют осуществлять переход между предыдущей и последующей TCP-сессиями. Первая кнопка "вперёд" [>>] перейдёт к следующей сессии между теми же хостами, что при первом вызове реконструкции. Вторая кнопка "вперёд" [>>>] перейдёт к следующей сессии между любыми двумя хостами. Если в буфере несколько сессий, рекомендуется начинать реконструкцию с самой первой, так как кнопка возврата [<<] не сможет перейти на сессию, предшествующую той, с которой началась реконструкция. Полученные данные вы можете записать на диск в двоичном виде, в текстовом, HTML или RTF-формате, выбрав Файл => Сохранить как…. При сохранении в текстовом формате, Вы получите файл кодировке Unicode UTF-16. При сохранении информации в HTML-формате, кодировка выходного файла будет зависеть от значения опции Логика отображения. Если выбран режим просмотра HTML, то файл будет иметь формат ANSI; для остальных режимов просмотра – формат Unicode UTF-16. Обратите внимание, что сохраняя HTTP-сессию вместе с изображениями, изображения из HTML-файла сохраняются во временной директории вашего диска, поэтому если вы хотите их оставить, откройте сохраненный файл в вашем браузере и пересохраните файл в формате, который может включать изображения (например, MHT) до того, как закроете CommView for WiFi. Для поиска строки в пределах текущей сессии, нажмите Редактировать => Найти… Анализ сессий закладке Анализ TCP-сессии окна TCP-сессия показывается восстановленная TCP-сессия в графическом виде. Здесь вы увидите потоки данных в этой сессии, ошибки, задержки и факты повторной передачи потерявшейся информации. Для каждого пакета сессии показана следующая информация: Флаги TCP. Абсолютные и относительные значения SEQ и ACK. Время прибытия пакета. Временной интервал между текущим и предыдущим пакетами. 47 Работа с программой | CommView for WiFi Номер пакета в восстановленной сессии. Если пакет содержит ошибки, то будет показано текстовое описание этих ошибок справа от картинки. Когда вы наведете курсор мыши на пакет, во всплывающем окне будет показано его содержимое при условии, что пакет содержит данные. Помните, что в поле Логика отображения задается способ декодирования данных во всплывающем окне. Пример окна анализа TCP-сессии показан ниже.  В правой панели показана основная статистика для данной сессии: Время соединения – время, затраченное на установление TCP-соединения. Иными словами, это время трехстороннего обмена по TCP (SYN => SYN ACK => ACK). Время ответа сервера – время с момента начального запроса клиента до первого отклика сервера. Время передачи данных – время между первым и последним ответом сервера (0 в том случае, если был всего один ответ от сервера). Вы можете сохранить графическое представление восстановленной TCP-сессии в файлы BMP, GIF или PNG, кликнув по рисунку правой кнопкой мыши и выбрав в контекстном меню Сохранить изображение как. Сессия с большим количеством пакетов будет разбита на несколько файлов. 48 Работа с программой | CommView for WiFi Реконструкция UDP-потоков Этот инструмент во многом схож с аналогичным инструментом для реконструкции TCP-сессий, описанным в предыдущей главе; вы можете найти в ней подробную информацию. Однако, поскольку в отличие от протокола TCP, UDP-протокол не требует установления соединения, между реконструкциями TCP-сессий и UDP-потоков есть следующие отличия: Отсутствует вкладка Анализ TCP-сессии, поскольку UDP не предусматривает наличия сессий, SEQ или ACK. Поскольку в UDP отсутствуют SYN или FIN, все пакеты между IP-адресами и соответствующими портами считаются принадлежащими одному потоку. 49 Работа с программой | CommView for WiFi Поиск пакета Для поиска пакетов, в которых содержится определенный текст или адрес, используйте диалог поиска (Поиск => Найти пакет). Введите подстроку для поиска, выберите тип данных (Строка или Hex) и нажмите Найти далее. Программа найдет пакеты, удовлетворяющие критерию поиска и покажет их в закладке Пакеты. Текст можно ввести как строку, шестнадцатеричное значение, MAC- или IP-адрес. Поиск текстовых строк будет осуществлен как в ASCII, так и в формате Unicode (UTF-8 и UTF-16). Hex-строка используется для ввода непечатаемых символов: просто введите шестнадцатеричную строку, например, AD0A027804. Для регистрозависимого поиска установите флаг С учетом регистра. Для поиска строки, которая начинается с определенного смещения, установите флаг Со смещения (hex). Помните, что смещение шестнадцатеричное и начинается с нуля (если вы ищите первый байт пакета, то значение смещения равно 0). Также вы можете выбрать направление поиска: Вверх или Вниз. 50 Работа с программой | CommView for WiFi Статистика и отчеты Выбрав в меню Вид => Статистика, можно ознакомиться с такими параметрами сетевой статистики сегмента LAN или вашего компьютера, как количество пакетов в секунду, байтов в секунду или распределение протоколов Ethernet, IP и подпротоколов. Дважды щелкнув по диаграммам, их можно скопировать в буфер обмена. Для удобства просмотра секторных диаграмм, их можно вращать с помощью двух небольших кнопок в правом нижнем углу. Данные каждой страницы можно сохранить или в формате bitmap или в текстовом файле CSV. Для этого воспользуйтесь контекстным меню или просто перетащите объект мышкой. Выбрав пункт меню Отчет, можно создавать автоматические отчеты в HTML или текстовом формате CSV. Сетевая статистика может строиться на базе всех пакетов, проходящих через адаптер, или с учетом правил, установленных на данный момент. Если требуется, чтобы в статистике учитывались лишьтекущие правила, следует отметить флаг Apply current rules (С учетом действующих правил). Общее Гистограммы вида "Пакетов в секунду" и "Байт/бит в секунду", индикатор использования пропускной способности (удельный трафик, деленный на номинальную скорость сетевого адаптера или модемного соединения), а также общее количество пакетов и байт. Протоколы Распределение Ethernet-протоколов: ARP, IP, SNAP, SPX и т. д. Выпадающее меню Построить по… позволяет выбрать методы: по числу пакетов или числу байт. IP-протоколы Распределение IP-протоколов. Выпадающее меню Построить по… переключает методы подсчета: по количеству пакетов или по количеству байт. IP-подпротоколы Распределение основных IP-протоколов уровня приложения: HTTP, FTP, POP3, SMTP, Telnet, NNTP, NetBIOS, HTTPS и DNS. Чтобы добавить собственные протоколы нажмите кнопку Настройка. Можно задать до восьми протоколов, введя название, тип IP-протокола (TCP/UDP) и номер порта. Выпадающее меню Построить по… переключает методы подсчета: по количеству пакетов или по количеству байт. Размеры Распределение размера пакетов. Хосты по MAC-адресу Список активных LAN-хостов по MAC-адресам, со статистикой передачи данных. MAC-адресам можно присвоить псевдонимы (алиасы). Если в вашей сети очень много multicast-пакетов и таблица Hosts by MAC слишком перегружена данными – можно сгруппировать их в одну строку GroupedMulticast. Эта опция включается флажком Группировать мультикаст-адреса. Обратите внимание: группироваться будут только вновь получаемые пакеты. Данные, полученные до момента включения данной опции, не будут группироваться. 51 Работа с программой | CommView for WiFi Хосты по IP-адресу Список активных LAN-хостов по IP-адресам, со статистикой передачи данных. Поскольку IP-пакеты, накапливаемые программой, могут приходить с неограниченного числа IP-адресов (как внутренних, так и внешних), по умолчанию данная закладка не отображает никакой статистики. Чтобы получить ее, необходимо задать диапазон IP-адресов в соответствующем поле. Задаваемый диапазон должен принадлежать вашей сети. Можно задать несколько диапазонов, но общее число IP-адресов не может превышать 1000. Чтобы удалить диапазон, щелкните по нему правой кнопкой мыши и выберите соответствующую команду (Удалить диапазон, Удалить все диапазоны). IP-адресам можно присвоить псевдонимы (алиасы). Матрица по MAC-адресу Эта страница показывает общение узлов сети в графической форме, опираясь на значения MAC-адресов. Компьютеры, представленные их MAC-адресами, расположены по кругу, а сессии между ними показаны линиями, соединяющими соответствующие узлы. Подведя мышку к узлу, вы увидите все сессии, имевшиеся у данного компьютера с остальными. Меняя значение поля Самые активные пары, вы можете управлять количеством отображаемых связей в матрице. Меняя значение поля Считать последних пар, вы можете управлять числом пар адресов, отслеживаемых программой для построения матрицы. Если в вашем сегменте наблюдается слишком много широковещательных или multicast-пакетов, переполняющих матрицу – вы можете игнорировать такие пакеты, установив соответствующий флажок: Игнорировать бродкасты или Игнорировать мультикасты. Матрица по IP-адресу На этой странице показана графическая матрица обмена узлами сети со своими IP-адресами. Узлы сети (их IP-адреса) расположены по кругу, а сессии между ними показаны линиями, соединяющими соответствующие узлы. Подведя мышь к узлу, вы увидите все сессии, происходившие у данного между данным узлом и остальными. Меняя значение поля Самые активные пары, вы можете управлять количеством отображаемых связей в матрице. Меняя значение поля Считать последних пар, вы можете управлять числом пар адресов, отслеживаемых программой для построения матрицы. Если в вашем сегменте наблюдается слишком много широковещательных или multicast-пакетов, излишне перегружающих матрицу – вы можете игнорировать такие пакеты, установив соответствующий флажок: Игнорировать бродкасты или Игнорировать мультикасты. Отчет Закладка позволяет настроить автоматически создаваемые отчеты в форматах HTML (с графическим представлением гистограмм) или в формате CSV. Возможно получение статистики по ранее собранным пакетам. Для этого загрузите файл в утилиту просмотра Log-файлов и выберите Файл => Получить статистику. При желании можно сбросить ужеимеющиеся значения в окне Статистика. Эта функция не покажет распределение пакетов во времени, она ограничена общими сведениями, гистограммами протоколов и таблицами хостов LAN. 52 Работа с программой | CommView for WiFi Псевдонимы CommView for WiFi может подставлять вместо MAC- или IP-адресов легко читаемые и легко запоминаемые имена при отображении пакетов в закладках Пакеты и Статистика. Например, 00:0F:3D:E9:0D:35 станет AP. Чтобы создать имя (алиас) для MAC-адреса, щелкните правой кнопкой мыши на пакете и выберите контекстном меню Создать псевдоним, используя MAC источника или используя MAC |