Руководство пользователя Версия 1 Copyright 19992015 TamoSoft Содержание
 Скачать 2.74 Mb.
|
|
получателя. Появится окно с уже заполненным полем MAC-адреса, теперь можно ввести подходящее имя. Другой способ: выберите в меню Настройка => Псевдонимы и заполните поля вручную. Удалить имя или стереть весь список имен можно, щелкнув правой кнопкой мыши в окне Псевдонимы и выбрав Удалить запись или Очистить все. Точно так же происходит работа с IP-адресами. Если новая запись IP-имени создается щелчком правой кнопки мыши по пакету, поле имени автоматически заполняется именем хоста (если оно доступно), а затем пользователь может его редактировать.     53 Работа с программой | CommView for WiFi  Генератор пакетов Эта утилита позволяет создавать и передавать пакеты через сетевой адаптер. Выберите в меню Инструменты => Генератор пакетов. Или, выбрав пакет в закладке Пакеты, щелкните на нем правой кнопкой мыши, а затем выберите команду Отправить пакет.  Пожалуйста, прочитайте эту информацию об ограничениях и особенностях работы с Генератором Пакетов и беспроводными адаптерами: Пользуйтесь генератором пакетов только в том случае, если вы точно знаете, какова ваша цель. Передача пакетов в сеть может привести к непредсказуемым последствиям. Советуем пользоваться этим инструментом лишь в том случае, если вы опытный системный администратор. Ваш адаптер может не отправить некоторые пакеты или отправить определенные пакеты много раз. Такое поведение адаптера контролируется только его программным обеспечением и не находится под нашим контролем. Прошивка вашего адаптера может не позволить передачу пакетов с произвольной скоростью. Вполне возможно, что когда вы укажете скорость в 1000 пакетов в секунду, прошивка адаптера будет передавать эти пакеты намного медленнее. Обратите внимание на то, что Генератор пакетов не может и не должен быть использован для посылки пакетов с уровня приложений, то есть он не следит за инкрементом значений SEQ, ACK, значениями контрольных сумм, размерами пакетов и т. д. Если требуется переслать поток TCP, следует воспользоваться Winsock-приложением. Генератор пакетов предназначен для воспроизведения уже захваченного трафика, тестирования брандмауэров и систем обнаружения вторжения, а так же для других целей, где требуется ручное создание пакетов. 54 Работа с программой | CommView for WiFi Генератор пакетов позволяет изменять содержимое пакета и одновременно показывать его в декодированном виде в левом окне. Можно создавать любые виды пактов, получая полный контроль над их содержимым. Для пакетов IP, TCP, UDP и ICMP контрольная сумма автоматически корректируется при нажатии на кнопку "сигма". Для помощи в редактировании пакета предусмотрен специальный модуль - Визуальный конструктор пакетов; его можно вызвать, нажав на соответствующую кнопку. Воспользуйтесь кнопкой (с изображенной на ней стрелкой) для получения списка доступных шаблонов пакетов. В программе есть шаблоны TCP, UDP и ICMP пакетов; их использование зачастую оказывается удобнее, чем ввод 16-ричных значений в окне редактора. Возможно, в шаблонах TCP- UDP- и ICMP-пакетов вам потребуется изменить поля MAC- и IP- адреса, номера портов, SEQ- и ACK-номера и т. д. Вместо встроенных шаблонов можно использовать собственные, переместив пакет из закладки Пакеты в окно шаблона в Генераторе пакетов. В случае переноса нескольких пакетов, только первый из них будет использован в качестве шаблона. В списке файлов шаблонов появится новый файл – New Template, который можно переименовать по правому щелчку мыши, выбрав Rename или удалить, выбрав Delete. После выбора шаблона, он будет загружен в окно редактора, где можно изменить содержимое пакета перед его отправкой. Кроме того, можно скопировать произвольные файлы NCF в поддиректорию TEMPLATES. CommView for WiFi будет отображать в списке шаблонов файл(ы) NCF, обнаруженные в поддиректории TEMPLATES. Если в файле NCF будет больше одного пакета – в качестве шаблона будет использован только первый пакет. Ниже приведены параметры передачи: Размер пакета – задать размер пакета. Пакетов в секунду – установить частоту передачи пакетов. Будьте осторожны и не превышайте пропускную способность соединения! Попытка переслать 5000 раз в секунду пакеты длиной в 1000 байт превысит возможности 10Mbit-ого сетевого адаптера. Непрерывно – включить режим непрерывной передачи, пока не нажмете Остановить. Количество раз – задать число отправок пакета в сеть. Скорость 802.11 – задать скорость 802.11 (rate), используемую для отправки пакетов. Возможность использования той или иной скорости зависит от выбранных в настоящий момент диапазона и канала. Например, пакеты 802.11а не могут быть переданы на скорости 2 Mbps. Long/Short Preamble – установить тип преамбулы для пакетов 802.11b и 802.11g. Неприменимо для 802.11a. Отправить/Остановить – возобновить/остановить передачу пакета. Работа с несколькими пакетами одновременно Генератор пакетов может передавать несколько пакетов одновременно. Выберите нужные вам пакеты из списка и правым щелчком мыши вызовите Генератор пакетов. Кроме того, можно просто перетащить файл с пакетами (в любом поддерживаемом формате) в окно Генератора пакетов. При работе в этом режиме декодер и редактор пакетов отключаются. Сохранение отредактированных пакетов Если вы отредактировали пакет и хотите его сохранить, просто перетащите мышью дерево декодера на рабочий стол или в любую папку. Будет создан новый файл в формате NCF с именем 55 Работа с программой | CommView for WiFi PACKET.NCF. Если требуется редактировать и посылать несколько пакетов – делайте это по очереди, вынося каждый пакет на рабочий стол и задавая ему новое имя. Затем откройте окно Просмотра Log-файлов, внесите в него отредактированные пакеты, выберите их и, удерживая клавишу Shift, активизируйте из контекстного меню Генератор пакетов. 56 Работа с программой | CommView for WiFi Визуальный конструктор пакетов Визуальный конструктора пакетов – это модуль, предназначенный для редактирования пакетов и их генерации в Генераторе пакетов. С помощью конструктора вы сможете быстро и безошибочно создать новый пакет либо редактировать существующий, используя при этом готовые шаблоны. После создания или редактирования пакет можно отправить в сеть с помощью Генератора пакетов.  Поддерживается генерация пакетов TCP, UDP, ICMP (на основе версий 4 и 6 протокола IP), а также пакетов ARP. Для создания пакета выберите его вид в выпадающем списке Тип пакета. Все значения 57 Работа с программой | CommView for WiFi по умолчанию полей пакета будут заполнены автоматически, но могут быть впоследствии отредактированы. Пакеты ICMP, TCP, UDP и ARP состоят из нескольких отдельных слоев; интерфейс Визуального конструктора пакетов создан по такому же принципу. Опции, имеющие отношение к одно и тому же слою, расположены на отдельной панели. К примеру, пакет TCP состоит из 4 слоев; поля адресов Source MAC и Destination MAC расположены в панели Ethernet II (канальный уровень); поля Scr Port Dst Port находятся в панели TCP (транспортный уровень). Если вы хотите скрыть панель, нажмите кнопку Свернуть/Развернуть, расположенную в правой верхней части панели. Помните, что некоторые значения в "родительском" уровне могут влиять на тип пакета в низших уровнях, поэтому изменения в верхних уровнях могут привести к перестройке более низких уровней пакета. Таким образом, если вы измените тип протокола в панели Ethernet II (канальный уровень), то это приведет к перестройке всего пакета. Учтите также, что значения одних полей и низших уровней могут зависеть от значений других полей. Примеры таких полей: контрольные суммы и длины заголовков и/или данные с низших уровней. Визуальный конструктор пакетов вычисляет эти значения автоматически. Тем не менее, вы можете создавать и нестандартные пакеты. Для этого выберите опцию Установить свои значения вместо используемых по умолчанию и введите требуемые значения. Примечание: визуальный конструктор пакетов помогает вам отслеживать корректность созданного пакета путем подсветки неверных или нестандартных значений красным цветом. Несмотря на то, что в конструкторе пакетов предусмотрена поддержка только для протоколов TCP, UDP, ICMP и ARP, вы можете использовать его для редактирования пакетов других протоколов. В этом случае следует использовать шестнадцатеричный редактор. После создания пакета вы можете его сохранить и потом снова загрузить в конструктор. Для этого используйте соответствующие команды меню Файл. Вы можете загрузить любой файл CommView for WiFi с перехваченными пакетами (NCF); при этом помните, что если этот файл содержит более одного пакета, то будет загружен лишь первый пакет. 58 Работа с программой | CommView for WiFi Производитель NIC Первые 24 бита MAC-адреса сетевого адаптера позволяют однозначно определить имя фирмы-изготовителя. Этот 24-битный код имеет название OUI (Organizationally Unique Identifier). Чтобы определить название производителя, выберите Инструменты => Определение изготовителя NIC, введите MAC-адрес и нажмите Определить. Будет показано имя производителя. По умолчанию, в закладке Пакеты CommView for WiFi заменяет первые три байта в MAC-адресе на имя производителя адаптера. Такой алгоритм может быть изменен, если деактивировать опцию Показать названия производителей в MAC-адресах в диалоговом окне Опции. Список производителей находится в файле MACS.TXT в папке CommView for WiFi. Вы можете отредактировать файл вручную. 59 Работа с программой | CommView for WiFi Захват по расписанию Утилита-планировщик позволяет задавать расписание сбора пакетов. Этой утилитой удобно пользоваться, когда требуется начать либо остановить сбор пакетов без постороннего наблюдения, например, в выходные или ночью. Чтобы добавить новое задание в расписание работы, зайдите в Инструменты => Захват по расписанию и нажмите кнопку Добавить. поле Начать захват укажите дату и время, когда CommView for WiFi должен начать перехват пакетов. В выпадающем списке Адаптер выберите требуемый адаптер. В поле Остановить захват укажите момент окончания перехвата пакетов. Заполнять оба поля Начать захват и Остановить захват необязательно. Если вы заполните только первое поле, перехват начнется и будет продолжаться до момента остановки пользователем. Если вы заполните только второе поле, начать перехват придется вручную, а остановка произойдет в указанное время. Если CommView for WiFi уже находился в режиме захвата пакетов к моменту начала работы по расписанию, и запланированный адаптер отличается от использованного в тот момент, CommView for WiFi приостановит выполнение текущего задания, переключит адаптер и начнет работу по расписанию. Важно: CommView for WiFi выполняет работу по расписанию лишь в том случае, если он запущен. 60 Работа с программой | CommView for WiFi Реассоциация узлов Поскольку алгоритм шифрования WPA носит динамический характер, знания WPA-пароля недостаточно для расшифровывания трафика сразу после ввода пароля. Для расшифровывания WPA-трафика CommView for WiFi должен работать и перехватывать пакеты во время фазы обмена ключами (эта фаза производится по протоколу EAPOL). Модуль реассоциации узлов можно использовать для инициирования обмена ключами:  Модуль посылает запрос на деаутентификацию от имени выбранной точки доступа. Этот запрос приводит к реассоциации станции и точки доступа. Процесс реассоциации обычно занимает не более секунды и позволяет программе перехватывать EAPOL-пакеты, необходимые для расшифровывания WPA-PSK. Используйте этот модуль лишь в том случае, если вам требуется расшифровывать трафик WPA-PSK. Для начала процесса реассоциации выберите из выпадающего списка точку доступа, выберите станции и нажмите Послать сейчас. Опции Послать всем клиентам и Послать выбранным клиентам позволяют послать unicast-пакеты всем или выбранным клиентам, соответственно. Опция Послать бродкаст позволяет послать бродкаст-пакет на адрес FF:FF:FF:FF:FF:FF. Хотя эта опция позволяет покрыть все клиенты, некоторые клиенты могут проигнорировать запрос деаутентификацию, посланный на бродкаст-адрес. Также можно послать несколько пакетов: воспользуйтесь полями Послать пакетов и Интервал. 61 Работа с программой | CommView for WiFi Работа с CommView Remote Agent for WiFi CommView Remote Agent for WiFi – это вспомогательная программа для удаленного мониторинга сетевого трафика. Установите Remote Agent for WiFi на компьютере-объекте наблюдения, затем с помощью CommView for WiFi подключитесь к Remote Agent for WiFi. После подключения и авторизации вы сможете наблюдать трафик удаленного компьютера так, как это был бы ваш локальный компьютер. Важно: в этой главе объясняется, как использовать CommView for WiFi для связи с CommView Remote Agent for WiFi и для удаленного перехвата трафика. За подробной информацией об установке и настройке Remote Agent обратитесь к его справке. Перед работой с Remote Agent мы настоятельно советуем подробно ознакомиться с его документацией. Программу можно скачать с нашего веб-сайта. Чтобы включить режим удалённого мониторинга, выберите в меню Файл => Режим удалённого мониторинга. В CommView for WiFi появится дополнительная панель инструментов рядом с главной. Если вы работаете через брандмауэр (файрволл) или через прокси-сервер, или если вы установили нестандартный номер порта в CommView Remote Agent for WiFi, вам придётся указать порт, нажав кнопку Дополнительные установки сети и/или ввести настройки прокси-сервера SOCKS5. В диалоге Дополнительные установки сети можно указать, будет ли Remote Agent применять правила фильтрации локально или будет пересылать весь захваченный трафик в CommView for WiFi. Это будет описано ниже в этой главе.  Нажмите кнопку Новое соединение Удаленного Агента для установки нового соединения или кнопку Загрузить профиль Удаленного Агента для загрузки ранее сохраненного профиля. Ранее сохраненный профиль можно будет загрузить из окна Соединение с удаленным агентом. появившемся окне Соединение с удаленным агентом введите IP-адрес компьютера, на котором запущен CommView Remote Agent for WiFi, пароль подключения и нажмите кнопку Соединиться. Если пароль верный, соединение будет установлено. Появится сообщение Соединение готово, а в 62 Работа с программой | CommView for WiFi выпадающем списке каналов появятся каналы, поддерживаемые беспроводным адаптером, установленном на удаленном компьютере. Первым в списке каналов будет помещен Режим сканера. Если вы выберите Режим сканера, удаленный беспроводной адаптер будет перехватывать данные каждого канала в течении нескольких секунд, и так по кругу. С помощью небольшой кнопки, расположенной справа над списком каналов, вы сможете настроить работу сканера. Нажав эту кнопку, выберите каналы для мониторинга в режиме сканирования и укажите интервал в секундах на канал.  Теперь можно установить правила перехвата в закладке Правила главного окна CommView for WiFi. Вы также можете подменить текущий набор правил, отметив соответствующий флажок и нажав кнопку Редактировать формулу, после чего в появившееся поле можно ввести формулу, определяющую правила захвата. Синтаксис формулы тот же самый, что и в Универсальных правилах. Когда вы готовы к началу мониторинга, выберите в списке нужный канал и нажмите кнопку Начать захват. CommView for WiFi позволяет сохранить настройки соединения в виде профиля, чтобы бы в будущем его можно было быстро загрузить. Для этого воспользуйтесь кнопкой Сохранить профиль и введите имя файла. 63 Работа с программой | CommView for WiFi  CommView for WiFi начнет перехватывать трафик с удаленного адаптера так, как если это был ваш локальный трафик; в удаленной и локальной работе CommView for WiFi нет принципиальной разницы. Чтобы закончить удалённое наблюдение, нажмите кнопку Закончить захват. Можно или выбрать другой канал из списка, или отключиться от Remote Agent совсем, нажав кнопку Разорвать соединение. Чтобы вернуться в стандартный режим, выберите в меню Файл => Режим удалённого мониторинг и дополнительная панель управления исчезнет. CommView for WiFi может работать с несколькими Remote Agent одновременно. Вы можете создавать несколько удаленных подключений, каждое со своими настройками и независимым набором правил, тем самым получая возможность сбора трафика с нескольких локальных беспроводных сетей из одного экземпляра программы CommView for WiFi. Советы по эффективному использованию CommView Remote Agent for WiFi Для эффективной работы с Remote Agent необходимо убедиться, что полоса пропускания достаточна для передачи данных между Remote Agent и CommView for WiFi. Как уже говорилось ранее, программа должна быть установлена на компьютере с совместимым беспроводным адаптером (для мониторинга) и Ethernet-адаптером (для связи между программами Remote Agent CommView for WiFi). По умолчанию Remote Agent пересылает все захваченные пакеты обратно в CommView for WiFi, независимо от тех правил, которые могут быть настроены в CommView for WiFi. Это делается для шифрования и для предоставления корректной статистической информации, а также для корректной идентификации беспроводных узлов. Поскольку полностью загруженная беспроводная сеть имеет полосу пропускания в 54 Мбит/с (или даже 108 Мбит/c при использовании определенного оборудования), важно, чтобы проводной канал между CommView и CommView for WiFi мог выдержать такую нагрузку. В современных офисах с сетями Gigabit один адаптер Gigabit может с легкостью принимать данные с десятка Remote Agent. 64 Работа с программой | CommView for WiFi Бывают ситуации, когда быстрая связь – это проблема. Например, в том случае, если вы наблюдаете удаленную беспроводную сеть через Интернет. Даже подключения типа T3 (4.5 Мбит/c) недостаточно для передачи всех пакетов со среднезагруженной беспроводной сети. В таких случаях вы можете изменить начальные установки, настроив Remote Agent на фильтрацию пакетов перед их отправкой в программу CommView for WiFi. С помощью кнопки Дополнительные установки сети дополнительной панели инструментов главного окна CommView for WiFi можно включить опцию Минимизировать загрузку канала. Когда эта опция включена, текущий набор правил CommView for WiFi периодически пересылается в Remote Agent. Затем этот набор правил применяется локально, так что в CommView for WiFi передаются лишь те пакеты, которые прошли фильтрацию. этом режиме закладка Узлы может не отображать никаких узлов, а в закладке Каналы не будет показана статистика по отдельным каналам. Поэтому используйте этот режим только тогда, когда вы ограничены в пропускной способности вашего канала и вам требуется доступ к пакетам из удаленной беспроводной сети. По тем же причинам, связанным с пропускной способностью, мы НЕ рекомендуем использовать беспроводное подключение для передачи данных между Remote Agent и CommView for WiFi. Это неудачная мысль хотя бы потому, что беспроводной адаптер, используемый для мониторинга, будет перехватывать пакеты, отправляемые беспроводным адаптером, который служит для связи между двумя программами, если эти адаптеры работают на одном и том же или близких каналах, что может привести к лавинному эффекту. Если CommView Remote Agent for WiFi захватит больше данных, чем он способен передать в CommView for WiFi, то Remote Agent задействует свой внутренний буфер для хранения тех пакетов, которые не могут быть переданы немедленно. Размер буфера составляет 5 Мбайт. Индикатор Использования буфера в окне Remote Agent отражает текущее состояние буфера. Например, если программа записала в буфер 2.5 Мбайт данных, то буфер задействован на 50%. Если загрузка буфера достигнет 100%, программа перестанет записывать туда данные и перехваченные пакеты будут игнорироваться до тех пор, пока в буфере не освободится место. Безопасность CommView Remote Agent for WiFi создавался с учетом требований безопасности. Войти в Remote Agent можно только с помощью пароля, который никогда не передается открытым текстом, а проверяется по схеме "запрос-ответ" с использованием хэш-функции. Если авторизация прошла успешно, весь переданный трафик архивируется и шифруется с помощью этого пароля. Пожалуйста, держите ваш пароль в секрете. Если он станет доступен другому лицу, то этот человек получит обширный доступ к вашей сети и сможет перехватывать сетевой трафик на удаленном компьютере. 65 Работа с программой | CommView for WiFi Использование RPCAP Важно: В данной главе описывается функциональность, которая может не работать в соответствии описанием в зависимости от того, как она реализована в программном обеспечении или оборудовании других производителей. Техническая поддержка по описываемым ниже функциям не оказывается. дополнение к возможностям удаленного мониторинга, обеспечиваемым CommView Remote Agent, CommView также позволяет получать трафик с удаленных хостов по протоколу RPCAP (Remote Packet Capture). Этот протокол поддерживается некоторыми типами оборудования (напр. точками доступа Aerohive) и программного обеспечения (напр. WinPcap). Для включения режима удаленной работы выберите в меню Файл => Режим удаленного мониторинга. Под основной панелью инструментов CommView for WiFi появится дополнительная панель. Нажмите на кнопку Новое RPCAP-соединение, чтобы открыть окно нового соединения. Для соединения с удаленным устройством введите его хост или IP-адрес, укажите порт (по умолчанию RPCAP использует порт 2002), поставьте флаг Авторизация пользователя и введите имя пользователя и пароль, если это требуется, и поставьте флаг Режим promiscuous, если хотите осуществлять мониторинг в этом режиме. Нажмите кнопку Соединиться для установки соединения. После установки соединения вы увидите список доступных сетевых интерфейсов в выпадающем списке Адаптер. Выберите интерфейс и нажмите кнопку Начать захват. 66 Работа с программой | CommView for WiFi Использование Aruba remote capture Важно: В данной главе описывается функциональность, которая может не работать в соответствии описанием в зависимости от того, как она реализована в программном обеспечении или оборудовании других производителей. Техническая поддержка по описываемым ниже функциям не оказывается. дополнение к возможностям удаленного захвата, обеспечиваемым CommView Remote Agent, CommView for WiFi также позволяет получать поток данных от точек доступа, производимых компанией Arubа Networks Inc. Для включения режима удаленного захвата выберите в меню Файл => Режим удаленного мониторинга. Под основной панелью инструментов CommView for WiFi появится дополнительная панель. Нажмите на кнопку Новое соединение Aruba remote capture, чтобы открыть окно нового соединения. Удаленный захват должен начинаться на стороне точки доступа через интерфейс командной строки. Aruba remote capture имеет следующий синтаксис: pcap start pcap start 18:64:72:e3:6a:10 192.168.0.2 5000 4 2346 После того, как вы настроите удаленный захват пакетов на стороне точки доступа, укажите выбранный вами номер порта, и нажмите кнопку Соединиться, чтобы начать получение пакетов от точки доступа Aruba. 67 Работа с программой | CommView for WiFi Информация о портах Окно (Вид => Информация о портах) отражает таблицу номеров портов и соответствующие им имена сервисов. Эта информация берется из файла SERVICES, который установлен Windows. Файл SERVICES располагается в папке C:\windows\system32\drivers\etc. Если вы хотите добавить порты/имена сервисов, то можете редактировать этот файл вручную. CommView for WiFi загружает этот файл при запуске, так что ваши изменения будут видны лишь после перезапуска программы. 68 Работа с программой | CommView for WiFi Установка опций В меню Настройка => Установки вы можете настроить некоторые опции программы. Основные |