Home
Contents

LAN Analyzer and Protocol Decoder - CommView

Prev Page Next Page
 
Einführung
Über CommView
Was ist neu
Programmbenutzung
Überblick
Netzwerkschnittstelle zur Paketerfassung auswählen
Aktuelle IP Verbindungen
Pakete
Protokollierung
Logbetrachter
Regeln
Erweiterte Regeln
Alarme
Rekonstruktion von TCP-Sitzungen
UDP-Ströme rekonstruieren
Pakete suchen
Statistiken und Berichte
Die Verwendung von Kennnamen
Paketgenerator
Optischer Paketersteller
NIC Vendor (Hersteller) Identifier (Identifiziertool)
Scheduler
Der Einsatz des Remote Agent
RPCAP anwenden
Loopback Datentransfer erfassen
Port Referenz
Einstellungen
Häufig gestellte Fragen
VoIP-Analyse
Einleitung
Arbeiten mit dem VoIP-Analyser
SIP- und H.323-Sitzungen
RTP-Ströme
Registrierungen
Endpunkte
Fehler
Anrufprotokoll
Berichte
Anrufswiedergabe
VoIP-Protokollbetrachter
Arbeiten mit Auflistungen im VoIP-Analyser
NVF-Dateien
Weiterführende Themen
Erfassung von intensivem Verkehr
Arbeiten mit mehreren Instanzen
CommView im nichtsichtbaren Modus
Kommandozeilen Parameter
Datenaustausch mit Ihrer Anwendung
Maßgeschneidertes Decoding
CommView Logdateien Format
Einkauf und Support

Häufig gestellte Fragen

In diesem Kapitel finden Sie die Antworten auf einige der am häufigsten gestellten Fragen (so genannte FAQ’s). Die aktuellsten FAQ's finden Sie unter http://www.tamosoft.de/products/commview/faq.php.

F. Kann CommView den Paketverkehr eines Modems (RAS Adapter) erfassen?

A. Ja.

F. Was genau sieht CommView auf einem PC der mit einem LAN verbunden ist?

A. CommView aktiviert den vermischten Modus für die Netzwerkkarte und kann dann den gesamten Paketverkehr auf diesem LAN Segment erfassen. Es werden also die Paket die an irgendeinen PC im LAN-Segment adressiert sind erfasst und analysiert. Im Falle von Wireless Ethernet (es können nur ankommende und ausgehende Pakete erfasst werden) und Netzwerken mit Switches gibt es gewisse Limitierungen (siehe Frage zum Thema Switches in diesen FAQ).

F. Ich bin via eines Switch mit einem LAN verbunden. Wenn ich CommView starte werden nur Pakete erfasst, die zu oder von meinem Computer gesendet wurden. Der Datenverkehr anderer LAN-Teilnehmer wird nicht erfasst. Warum ist das so?

A. Im Gegensatz zu Hubs verhindern Switches das Sniffing mit Netzwerkadaptern im Promiscuous-Modus. In einem LAN mit Switches ist CommView (und jeder andere Packetanalyzer) nur in der Lage Broadcast- und Multicast-Pakete, sowie die ankommenden und ausgehenden Pakete des PC’s auf welchem CommView installiert ist, zu erfassen. Moderne Switches unterstützen jedoch das sog. Port Mirroring, welches ermöglicht, Teile des Paketverkehrs oder den gesamten Paketverkehr auf dem Switch auf einen bestimmten Monitoring-Port umzuleiten. Dies erlaubt Ihnen den gesamten LAN-Verkehr dieses Segmentes einzusehen. Wir haben das Informationsdokument Vermischte Erfassung in Ethernet- und Wi-Fi-Netzwerken zusammengestellt, welches dieses Thema im Detail behandelt.

F. OK, ich bin durch einen Hub mit einem LAN verbunden aber ich kann den Datenverkehr der anderen LAN-Teilnehmer nicht sehen, als ob es ein Switch wäre. Warum ist das so?

A. Dafür gibt es zwei mögliche Gründe. Entweder der Hub ist nur als Hub ausgewiesen, es ist aber ein Switch (z. B. Hersteller wie Linksys) oder der Hub ist ein sogenannter Multi-Speed-Hub. In diesem Fall kann der Paketverkehr von Netzwerkadaptern, die mit einer anderen Geschwindigkeit arbeiten als Ihr Netzwerkadapter, nicht angezeigt werden. Wenn Sie also z. B. einen 10MBit/s Netzwerkadapter haben, können Sie den erzeugten Paketverkehr von 100MBit/s Netzwerkadaptern, nicht sehen.

F. Ich habe zu Hause ein LAN und bin via Breitband-Router mit dem Internet verbunden und ich kann nur meinen eigenen Datenverkehr sehen. Ist es auch möglich den Datenverkehr anderer Teilnehmer meines LAN's zu sehen?

A. Kurz gesagt: Ja. Es gibt mehrere Möglichkeiten dieses Problem zu lösen. Konsultieren Sie für weitere Informationen und Beispiele der Netzwerkanordnungen das Informationsdokument Vermischte Erfassung in Ethernet- und Wi-Fi-Netzwerken.

F. Kann CommView Daten eines Netzwerkadapters erfassen das keine IP-Adresse hat?

A. Ja, der Netzwerkadapter muss nicht an TCP/IP oder ein anderes Protokoll gebunden sein. Besonders bei der Fehlersuche kann es vorkommen, dass Sie den Computer auf dem CommView läuft mit irgendeinen freien Port eines Hub’s verbinden müssen. In einer solchen Situation müssen Sie sich nicht um Ihre IP-Adresse im LAN-Segment kümmern. Sie brauchen nur die Bindung des Netzwerkadapters mit dem TCP/IP-Protokoll zu unterbrechen und dann können Sie mit der Paketerfassung beginnen. Öffnen Sie die Systemsteuerung => Netzwerkverbindungen, rechts klicken Sie auf das Icon der Verbindung, wählen Sie Eigenschaften und deaktivieren Sie die entsprechende Checkbox welche das Protokoll an den Netzwerkadapter (NIC) bindet.

F. Ich bin in einem LAN mit hohem Verkehrsvolumen und es ist schwer einzelne Pakete zu untersuchen, weil die alten Pakete schnell aus der Pufferanzeige entfernt werden, wenn die Applikation hunderte oder tausende von Paketen pro Sekunde empfängt. Kann ich etwas dagegen tun?

A. Ja, Sie können den Button [Aktuellen Puffer in neuem Fenster öffnen] auf der kleinen Werzeugleiste des Registers Pakete benutzen. Das ermöglicht Ihnen bei jedem Intervall, soviele Schnappschüsse des aktuellen Puffers zu erstellen, wie Sie möchten. Sie werden dann in der Lage sein, die Pakete in den neuen Fenstern in Ihrer arbeitsfreien Zeit zu untersuchen.

F. Ich startete das Programm und klickte auf Paketerfassung starten aber es werden keine Pakete angezeigt. Warum?

A. Es gibt zwei mögliche Gründe: Entweder Sie haben einen unbenutzten Netzwerkadapter gewählt oder es ist bei der Definition der Paketerfassungsregeln ein Fehler unterlaufen. Schalten Sie alle Regeln aus und schauen Sie was passiert. Die Statusleiste des Programms sollte in jedem Fall die Gesamtzahl der erfassten Pakete anzeigen.

F. Ich habe festgestellt, dass die Prüfsumme der ausgehenden IP-/TCP-/UDP-Pakete nicht korrekt ist. Warum ist das so?

A. Neue Gigabit-Netzwerkadapter haben eine Checksum Offload-Option, welche ermöglicht, dass der Netzwerkadapter selbst die CRC bestimmt. Dies dient der Entlastung der CPU. Da CommView die ausgehenden Pakete abfängt, bevor Sie beim Netzwerkadapter ankommen, erscheint die CRC nicht korrekt, da sie vom Netzwerkadapter noch nicht bestimmt wurde. Das ist grundsätzlich korrekt und betrifft allenfalls die Rekonstruktion einer TCP-Sitzung, sofern Sie die Grundeinstellungen der Option Falsche Prüfsummen für die TCP Sitzungsrekonstruktion ignorieren geändert haben (siehe Einstellungen für weitere Informationen).

F. Arbeitet CommView auch auf Multiprozessor-Computer?

A. Ja.

F. Es scheint unmöglich zu sein, mehr als 5000 Pakete vom Paketpuffer zu speichern. Gibt es eine Abhilfe?

A. Aktuell exististiert keine solche Begrenzung. Die Applikation benutzt einen Umlaufpuffer zur Speicherung erfassrter Pakete. Standardmäßig kann der Puffer die letzten 5000 Pakete aufnehmen, aber dieser Wert kann über die Einstellungen angepasst werden. Die maximale Puffergröße beträgt 20000 Pakete (der Puffer kann aus einem nahe liegenden Grund nicht unbegrenzt sein: Ihr Computer-RAM ist nicht unbegrenzt). Sie können den Pufferinhalt unter Benutzung des Registers Protokolle in eine Datei speichern. Diese Begrenzung der Puffergröße schränkt die Fähigkeit zur Speicherung einer Anzahl von Paketen keineswegs ein. Sie brauchen nur die automatische Protokollierung im Register Protokollierung aktivieren. Eine solche automatische Protokollierung veranlasst die Applikation zur kontinuierlichen Ausgabe der erfassten Pakete in Dateien und Sie können eine Begrenzung der Gesamtgröße der erfassten Daten festlegen.

F. Ich habe eine Netzwerkverbindung via Kabel/xDSL Modem. Ist CommView in der Lage diesen Paketverkehr zu erfassen?

A. Wenn Ihr Modem eine Dual-USB/Ethernet-Schnittstelle hat und Sie das Modem mit einer Ethernet-Karte verbinden können wird CommView den Paketverkehr erfassen. Wenn das Modem nur eine USB-Schnittstelle hat, versuchen Sie es am besten einfach.

F. Meine Firewall-Software warnt mich, dass CommView versucht sich mit dem Internet zu verbinden. Ich weiß, dass manche Webseiten die Besucher tracken können, indem Sie die Information sammeln, die durch das Programm über das Internet geschickt wird. Warum versucht CommView sich mit dem Internet zu verbinden?

A. Drei Dinge können Ihre Firewall alarmiert haben. Erstens: Es kann ein Versuch sein IP-Adressen in Hostnamen aufzulösen. Da CommView Kontakt zu Ihrem DNS-Server hat um DNS-Anfragen durchzuführen, kann so unausweichlich ein Alarm ausgelöst werden. Sie können diese Funktion ausschalten (unter Einstellungen => Optionen => Keine DNS Auflösung). Im Register Letzte IP-Verbindungen werden dann keine Hostnamen mehr angezeigt. Zweitens: Sie haben das Programm so konfiguriert, dass es nach Updates bzw. neueren Versionen sucht. Dabei verbindet sich CommView mit www.tamos.com. Dies können Sie unter Einstellungen => Optionen => Versch. => Automatische Applikations-Updates aktivieren deaktivieren. Drittens: Wenn Sie das Programm kaufen, müssen Sie es aktivieren, CommView muss sich dazu mit www.tamos.com verbinden. Sie können dies umgehen, wenn Sie die manuelle Aktivierung auswählen. Dies sind die einzigen Gründe warum CommView allenfalls eine Verbindung ins Internet herstellt. Es gibt keine versteckten Aktivitäten. Wir verkaufen keine Spyware.

F. Ich bin oft als Benutzer und ohne administrative Rechte angemeldet. Muss ich mich um CommView zu starten abmelden und als Administrator wieder anmelden?

A. Nein. Sie können das CommView-Verzeichnis öffnen, rechtsklicken Sie dann auf CA.exe während Sie Shift gedrückt halten und wählen Sie dann Ausführen als… aus dem Kontextmenü. Geben Sie den administrativen Login und das Passwort ein und klicken Sie dann auf [OK] um das Programm zu starten. Unter Windows Vista und höher startet CommView automatisch mit erhöhten Rechten.

F. Kann CommView den Datenverkehr auf einem Netzwerkadapter erfassen wenn es unter Microsoft Virtual PC läuft?

A. Ja. Die einzige Beschränkung ist der Vermischte-Modus, er ist für virtuelle Adapter nicht verfügbar. D.h. Sie können nur Ihren eigenen Datenverkehr und Broadcast-Pakete erfassen.

F. Wenn ich den Paketverkehr meiner Einwahlverbindung untersuche kann ich während des Sitzungsaufbaus (CHAP, LCP, etc.) keine PPP-Pakete finden. Ist das normal?

A. Leider können PPP-Handshaking-Pakete nicht erfasst werden. Nehmen Sie zur Kenntnis, dass alle anderen PPP-Pakete, welche dem einleitenden Handshake-Vorgang folgen, erfasst werden.

F. Ich benutze WireShark und ich bemerke, dass ich nach der CommView-Installation keine Pakete mehr erfassen kann.

A. Da existiert ein bekannter Konflikt zwischen WinPcap, dem Treiber von WireShark und einigen anderen ähnlichen Produkten, und dem von CommView benutzten Treiber. Einfache Abhilfe: Starten Sie die Erfassung mit WireShark bevor Sie die Paketerfassung mit Commview starten. In diesem Fall werden beide Produkte in der Lage sein, Daten simultan zu erfassen. Falls Sie die Erfassung mit CommView zuerst starten, wird WinPcap aus einem uns unbekannten Grund keine Pakete erfassen.

F. Bei der Rekonstruktion von TCP-Sitzungen die japanische oder chinesische HTML-Seiten beinhalten kann ich den Originaltext nicht sehen.

A. Zur Anzeige ostasiatischer Sprachen sollten Sie ostasiatische Fonts installieren. Öffnen Sie Systemsteuerung => Ländereinstellungen, wählen Sie das Register "Sprachen" und aktivieren Sie die Checkbox "Dateien für ostasiatische Sprachen installieren".

Die Enterprise-Lizenz ist auch als Jahresabonnement verfügbar, was eine zeitlich limitierte Lizenz darstellt, gültig für 1 Jahr ab Kaufdatum.

Für andere Lizenzbedingungen und -konditionen, schauen Sie bitte in die mit dem Produkt gelieferte Endbenutzerlizenz.

F. Kann ich Ton vom VoIP-Analyser in eine Standard-.wav- oder .mp3-Datei speichern?

A. Nicht direkt, aber er gibt eine Menge Hilfsmittel auf dem Markt, die ein "virtuelles Audiokabel" anbieten, welches alles in eine Datei speichert, was Ihre Soundkarte abspielt. Versuchen Sie zum Beispiel, Xilisoft Sound Recorder (benutzen Sie den Modus "Was Sie hören").