Home
Contents

LAN Analyzer and Protocol Decoder - CommView

Prev Page Next Page
 
Einführung
Über CommView
Was ist neu
Programmbenutzung
Überblick
Netzwerkschnittstelle zur Paketerfassung auswählen
Aktuelle IP Verbindungen
Pakete
Protokollierung
Logbetrachter
Regeln
Erweiterte Regeln
Alarme
Rekonstruktion von TCP-Sitzungen
UDP-Ströme rekonstruieren
Pakete suchen
Statistiken und Berichte
Die Verwendung von Kennnamen
Paketgenerator
Optischer Paketersteller
NIC Vendor (Hersteller) Identifier (Identifiziertool)
Scheduler
Der Einsatz des Remote Agent
RPCAP anwenden
Loopback Datentransfer erfassen
Port Referenz
Einstellungen
Häufig gestellte Fragen
VoIP-Analyse
Einleitung
Arbeiten mit dem VoIP-Analyser
SIP- und H.323-Sitzungen
RTP-Ströme
Registrierungen
Endpunkte
Fehler
Anrufprotokoll
Berichte
Anrufswiedergabe
VoIP-Protokollbetrachter
Arbeiten mit Auflistungen im VoIP-Analyser
NVF-Dateien
Weiterführende Themen
Erfassung von intensivem Verkehr
Arbeiten mit mehreren Instanzen
CommView im nichtsichtbaren Modus
Kommandozeilen Parameter
Datenaustausch mit Ihrer Anwendung
Maßgeschneidertes Decoding
CommView Logdateien Format
Einkauf und Support

Regeln

Dieses Register erlaubt die Definition von Regeln zur Erfassung der Datenpakete. Sind hier Regeln gesetzt worden, filtert das Programm die Pakete danach und zeigt dann nur die regelkonformen Pakete an. Nehmen Sie zur Kenntnis, dass CommView keine Firewall ist und daher durch das Betriebssystem auch Pakete verarbeitet werden, die nicht den Regeln entsprechen. Die Wirkung der Regeln beschränkt die Anzeige der Pakete in CommView. Wenn eine Regel definiert wird, wird die zugehörige Registerbezeichnung in Fettschrift angezeigt.

Sie können mittels der Regeln im Programmmenü Ihre Regeleinstellungen in einer Datei speichern und später wieder laden.

Da LAN-Verkehr oft eine große Zahl von Datenpaketen erzeugt, empfehlen wir die Verwendung von Regeln, um nicht benötigte Pakete auszuschließen. Dadurch werden die benötigten Systemressourcen gesenkt. Wenn Sie eine Regel aktivieren bzw. deaktivieren wollen, wählen Sie den entsprechenden Teil im linken Teil des Fensters (z. B. IP-Adressen oder Ports) und deaktivieren Sie die Checkbox, die zur Regel gehört (z. B. Aktiviere IP Adressenregeln bzw. Aktiviere Portregeln). Es gibt acht Regeltypen:

Protokolle & Richtung

etherprotorule

Dieses Beispiel zeigt, wie man nur ein- und ausgehende ICMP- und UDP-Pakete empfängt. Alle anderen Pakete der IP-Familie werden ignoriert. Auch alle durchgehenden Pakete werden ignoriert.

MAC-Adressen

Der Dialog ermöglicht das Empfangen/Ignorieren von Paketen basierend auf MAC-Adressen (Hardware). Fügen Sie eine MAC-Adresse in das Eingabefeld Datensatz hinzufügen ein, wählen die Richtung (Nach, Von oder Beides) und klicken auf [MAC-Adresse hinzufügen]. Die neue Regel wird angezeigt. Wählen Sie die durchzuführende Aktion, wenn ein Paket ankommt. Das Paket kann ignoriert oder erfasst werden. Sie können auch auf den Button MAC-Kennname klicken, um eine Liste der Kennnamen zu erhalten. Doppelklicken Sie auf einen Kennnamen, den Sie hinzufügen wollen. Die MAC-Adresse wird der Eingabeliste hinzugefügt.

macrule

Dieses Beispiel zeigt, wie man das Programm Pakete ignorieren läßt, die von 0A:DE:34:0F:23:03E kommen. Alle Pakete von anderen MAC-Adressen werden empfangen.

IP-Adressen

Mit diesem Dialog können Pakete basierend auf IP-Adressen ignoriert oder empfangen werden. Geben Sie einfach eine IP- oder IPv6-Adresse im Bereich Datensatz hinzufügen ein, wählen die Richtung (Nach, Von oder Beides) und klicken dann auf [IP-Adresse hinzufügen]. Sie können dabei für IP-Blöcke sogenannte Wildcards (Platzhalter) verwenden. Die neue Regel wird angezeigt. Wählen Sie die durchzuführende Aktion, wenn ein Paket ankommt. Das Paket kann ignoriert oder erfasst werden. Über den Button IP-Kennname können sie eine Liste von Kennnamen erhalten. Doppelklicken Sie auf den Kennnamen, den Sie hinzufügen wollen und die entsprechende IP-Adresse wird der Eingabeliste hinzugefügt.

iprule

In diesem Beispiel zeigen wir wie Sie die Pakete definieren können, die an 63.34.55.66 gehen bzw. von 207.25.16.11 und von allen Adressen im Bereich 194.154.0.0 und 194.154.255.255 kommen. Alle Pakete, die von anderen Adressen kommen, werden ignoriert. Da im IP-Protokoll IP-Adressen verwendet werden, würde eine solche Konfiguration alle Nicht-IP-Pakete automatisch ignorieren. Die Benutzung von IPv6-Adressen erfordert Windows XP oder höher und die IPv6-Stapelung muss installiert sein.

Ports

Der Dialog ermöglicht das Ignorieren oder Empfangen von Paketen über Ports. Fügen Sie einfach eine Portnummer im Bereich Datensatz hinzufügen ein, wählen dann die Richtung (Nach, Von oder Beides) und klicken [Port hinzufügen] an. Die neue Regel wird angezeigt. Wählen Sie die durchzuführende Aktion, wenn ein Paket ankommt. Das Paket kann ignoriert oder erfasst werden. Betätigen Sie den Button [Port Referenz] um eine Liste aller bekannten Ports zu erhalten. Doppelklicken Sie auf den Port, den Sie hinzufügen wollen und seine Portnummer wird der Eingabeliste hinzugefügt. Ports können als Text eingegeben werden, z. B. http oder pop3. Das Programm wird dann den Portnamen in einen numerischen Wert umwandeln.

portrule

In diesem Beispiel sehen Sie, wie Sie das Programm dazu bringen Pakete von Port 80 kommend bzw. zu Port 137 gehend zu ignorieren. Diese Regel verhindert, dass CommView eingehenden HTTP-Verkehr bzw. ein- und ausgehenden NETBIOS NAME Service-Verkehr anzeigt. Alle von oder zu anderen Ports gehende Pakete werden aber angezeigt.

TCP-Flags

Der Dialog ermöglicht das Ignorieren oder Empfangen von Paketen basierend auf TCP-Flags. Wählen Sie eine oder mehrere Checkboxen im Bereich Datensatz hinzufügen und klicken Sie dann auf [Flags hinzufügen]. Die neue Regel wird angezeigt. Wählen Sie die durchzuführende Aktion, wenn ein neues Paket mit vorgegebenen TCP-Flags ankommt: Das Paket kann ignoriert oder erfasst werden.

tcpflag

In diesem Beispiel sehen Sie, wie das Programm TCP-Pakete mit dem PSH ACK-Flag ignoriert. Alle Pakete mit anderen PCP-Flags werden empfangen.

Text

Der Dialog ermöglicht den Empfang von Paketen, die einen bestimmten Text enthalten. Fügen Sie den Text-String im Bereich Datensatz hinzufügen ein und klicken Sie dann auf [Text hinzufügen]. Wählen Sie die durchzuführende Aktion, wenn ein Paket ankommt: Das Paket kann ignoriert oder erfasst werden.

text

In diesem Beispiel sehen Sie, wie man das Programm dazu bringt, nur Pakete zu empfangen, die "GET" enthalten. Wählen Sie die Checkbox Gross-/Kleinschreibung unterscheiden, wenn die Groß- und Kleinschreibung beachtet werden soll. Wählen Sie die Checkbox UTF8 oder UTF16, wenn Sie möchten, dass die Regel mit der jeweiligen Kodierung Ihres Textes übereinstimmt. Alle Pakete, die nicht den genannten Text enthalten, werden nun ignoriert. Wenn Sie eine Regel erstellen möchten, die auf hexadezimalen Bytesequenzen basiert, wenn der Text nicht druckfähig ist (z.B. 0x010203), sehen Sie im Kapitel Erweiterte Regeln nach.

Prozess

Ermöglicht Ihnen die Erfassung der Pakete über den Prozessnamen. Geben Sie im Bereich Datensatz hinzufügen den Prozessnamen ein und klicken Sie auf [Prozessname hinzufügen]. Die neue Regel wird angezeigt. Wählen Sie die durchzuführende Aktion, wenn ein neues Paket verarbeitet wird: Das Paket kann ignoriert oder erfasst werden. Es können ganze Prozessnamen oder Teile von Prozessnamen, d.h. netscp oder net, eingegeben werden. Alle Prozesse die den Teil eines Prozessnamens enthalten erfüllen die Regel. Gross- bzw. Kleinschreibung wird bei den Prozessnamen nicht unterschieden.

procrule

Das obige Beispiel zeigt eine Regel, die nur die Erfassung von Paketen erlaubt, welche von einem Prozess namens netscp.exe gesandt oder empfangen wurden. Alle Pakete die von anderen Prozessen gesandt werden, werden ignoriert.

Für Fortgeschrittene

Erweiterte Regeln sind die mächtigsten und flexibelsten Regeln. Sie ermöglichen Ihnen komplexe Filter basierend auf Bool’scher Logik zu implementieren. Eine detaillierte Hilfe zu der erweiterten Regeln finden Sie im Kapitel Erweiterte Regeln.