Home
Contents

WLAN Analysator und Decoder - CommView for WiFi

Prev Page Next Page
 
Einführung
Über CommView for WiFi
Was ist neu
Programmbenutzung
Installation der Treiber
Übersicht
Hauptmenü
Knoten
Fenster über Details zum AP und zur Station
Kanäle
Aktuelle IP-Verbindungen
Pakete
Logging
Logbetrachter
Regeln
Erweiterte Regeln
Alarme
WEP/WPA Schlüssel
Rekonstruktion von TCP-Sitzungen
UDP-Ströme rekonstruieren
Pakete suchen
Statistiken und Berichte
Die Verwendung von Kennnamen
Paketgenerator
Optischer Paketersteller
NIC Vendor (Hersteller) Identifier (Identifiziertool)
Scheduler
Knotenzuordnung wiederherstellen
Der Einsatz des Remote Agent
RPCAP anwenden
Aruba Remote Capture anwenden
Port Referenz
Einstellungen
Häufig gestellte Fragen
VoIP-Analyse
Einleitung
Arbeiten mit dem VoIP-Analyser
SIP- und H.323-Sitzungen
RTP-Ströme
Registrierungen, Endpunkte, Fehler
Anrufprotokoll und Berichte
Anrufswiedergabe
VoIP-Protokollbetrachter
Arbeiten mit Auflistungen im VoIP-Analyser
NVF-Dateien
Weiterführende Themen
802.11n- und 802.11 ac-Netzwerke überwachen
Hintergründe von CRC- und ICV-Fehlern
Hintergründe der WPA-Entschlüsselung
Signalstärke
A-MPDU- und A-MSDU-Pakete erfassen
CommView for WiFi innerhalb virtueller Maschine benutzen
Mehrkanalerfassung
Spektralanalyse
Erfassung von intensivem Verkehr
CommView im nichtsichtbaren Modus
Kommandozeilen Parameter
Datenaustausch mit Ihrer Anwendung
Maßgeschneidertes Decoding
CommView Logdateien Format
Information
Wie kann man CommView kaufen

Alarme

Dieser Dialog ermöglicht es Alarme zu erzeugen, die Sie über bestimmte Ereignisse informieren, wie verdächtige Pakete, starke Bandbreitennutzung, unbekannte Adressen usw. Solche Alarme sind sehr nützlich, wenn Sie das Netzwerk auf bestimmte verdächtige Ereignisse überwachen, wie auffällige Bytemuster in den empfangenen Paketen, Portscans oder unerwartete Hardwareverbindungen.

Wichtig: Die Alarme können nur von gefilterten Paketen ausgelöst werden. Wenn Sie z. B. das Programm so konfigurieren, dass es UDP-Pakete ausfiltert und andererseits die Alarmfunktion so einstellen, dass sie durch UDP-Pakete ausgelöst wird, so wird der Alarm nie ausgelöst.

Alarme werden über die folgende Liste verwaltet:

alarm list

Jede Zeile entspricht einem separaten Alarm und diee Checkbox daneben zeigt, ob der Alarm gegenwärtig aktiv ist. Wenn ein Alarm ausgelöst wird verschwindet die Checkbox. Um einen deaktivierten Alarm wieder zu aktivieren markieren Sie erneut die Checkbox neben dem Alarmnamen. Um alle Alarme zu deaktivieren, leeren Sie die Liste Alarme aktivieren. Um einen neuen Alarm zu editieren oder zu löschen verwenden Sie bitte die gleichnamigen Buttons im rechten Teil des Dialogs. Mittels der Schaltfläche [E-Mail-Setup] können Informationen zu Ihrem SMTP-Server eingegeben werden, wenn Sie E-Mail-Benachrichtigung wünschen (siehe unten).

Das Alarmeinstellungsfenster wird unten gezeigt:

alarm setup

Das Feld Name sollte für die Beschreibung der Alarmfunktion genutzt werden. Aktivieren Sie die Checkbox Aktiviert wenn der Alarm nach dem Hinzufügen/Editieren bei Beendigung des Setup aktiviert werden soll. Diese Checkbox entspricht der in der Alarmliste. Mit dem Auswahlbereich Alarm Typ wählen Sie einen von zehn Alarmen aus:

· Paket-Ereignis – CommView for WiFi löst den Alarm aus, wenn es ein Paket empfängt, das einer bestimmten Formel entspricht. Die Formelsyntax entspricht der Syntax für die Fortgeschrittenenregeln. Mehr dazu unter Erweiterte Regeln.
· Bytes/Sekunde Der Alarm wird ausgelöst, wenn die Byteanzahl/Sekunde einen Grenzwert über- bzw. unterschreitet. Bitte beachten Sie, dass der Wert in Bytes eingegeben werden muss, so dass bei einem gewünschten Alarm ab 1 Mbyte/Sekunde ein Wert von 1000000 eingegeben werden muss.
· Pakete/Sekunde – Der Alarm wird ausgelöst, wenn die Anzahl der Pakete/Sekunde einen Grenzwert über- bzw. unterschreitet.
· Broadcasts/Sekunde – Der Alarm wird ausgelöst, wenn die Anzahl der Broadcast-Pakete/ Sekunde einen Grenzwert über- bzw. unterschreitet.
· Multicasts/Sekunde - Der Alarm wird ausgelöst, wenn die Anzahl der Multicast-Pakete/Sekunde einen Grenzwert über- bzw. unterschreitet.
· CRC Fehler/Sekunde - Der Alarm wird ausgelöst, wenn die Anzahl der CRC-Fehler/Sekunde einen Grenzwert über- bzw. unterschreitet.
· Erneute Versuche/Sekunde - Der Alarm wird ausgelöst, wenn die Anzahl der Retry-Versuche (erneut Probieren)/Sekunde einen Grenzwert über- bzw. unterschreitet.
· Unbekannte MAC-Adresse – Der Alarm wird ausgelöst, wenn CommView for WiFi ein Paket von einer unbekannten Quell- oder zu einer unbekannten Ziel-MAC-Adresse empfängt. Mittels der Schaltfläche [Konfiguration] können Sie eine bekannte MAC-Adresse eingeben. Dieser Alarm ist nützlich, um neue unautorisierte Geräte zu erkennen, die mit Ihrem WLAN verbunden sind.
· Unbekannte IP-Adresse: Der Alarm wird ausgelöst, wenn CommView for WiFi ein Paket mit einer unbekannten Quell- oder Ziel-IP-Adresse oder IPv6-Adresse empfängt. Mittels des Buttons [Konfigurieren] können Sie eine bekannte IP-Adresse eingeben. Dieser Alarm ist nützlich, um unautorisierte IP-Verbindungen hinter einer Firmen-Firewall zu entdecken. Die Benutzung von IPv6-Adressen erfordert Windows XP oder höher und die IPv6-Stapelung muss installiert sein.
· Nicht autorisierter AP – Der Alarm wird ausgelöst, wenn CommView for WiFi ein Beacon-Paket von einem unbekannten Accesspoint empfängt. Mittels des Konfigurationsbutton Konfiguration können Sie die MAC-Adresse eines bekannten Accesspoints eingeben. Dieser Alarm ist nützlich, um unautorisierte Accesspoints zu entdecken.
· Ad-Hoc-Netzwerk - Der Alarm wird ausgelöst, wenn CommView for WiFi ein Beacon-Paket von einer unbekannten Ad-Hoc-Station empfängt. Benutzen Sie den Button [Konfigurieren] um MAC-Adressen bekannter Ad-Hoc-Stationen einzugeben. Dieser Alarmtyp ist nützlich zum Aufspüren unautorisierter Benutzung von Ad-Hoc-Netzwerken.

Das Eingabefeld Erford. Anzahl Ereignisse für Alarm: ermöglicht Ihnen den Schwellenwert für die Ereignisanzahl festzulegen, um einen Alarm auslösen zu lassen. Wenn Sie z. B. einen Wert von 3 wählen, wird ein Alarm erst ausgelöst, wenn das entsprechende Ereignis dreimal auftaucht. Wenn Sie einen bereits existierenden Alarm editieren, wird der Zähler auf Null zurückgesetzt.

Das Eingabefeld Max. Anzahl Auslösungen des Alarms: ermöglicht es Ihnen die Anzahl der Alarme festzulegen, bevor diese deaktiviert werden. Standardmäßig ist hier der Wert gleich 1, so dass nach der Alarm nach dem ersten Paketereignis deaktiviert wird. Wenn Sie diesen Wert erhöhen, wird CommView for WiFi ihn mehrmals auslösen. Wenn Sie einen Alarm editieren, wird der Zähler auf Null zurückgesetzt.

Im Bereich Aktion wählen sie die mit dem Alarm auszulösenden Ereignisse. Die folgenden Aktionen sind erhältlich:

· Nachrichten anzeigen: Zeigt eine non-modale Meldungsbox mit dem definierten Text. Mit dieser Aktion können Sie Variablen verwenden, die im Alarmfall durch die entsprechenden Parameter des Paketes, das den Alarm hervorrief, ersetzt werden. Diese Variablen sind:

%SMAC% -- Quell-MAC-Adresse.

%DMAC% -- Ziel-MAC-Adresse.

%SIP% -- Quell-IP-Adresse.

%DIP% -- Ziel-IP-Adresse.

%SPORT% -- Quell-Port.

%DPORT% -- Ziel-Port.

%ETHERPROTO% -- Ethernet-Protokoll.

%IPPROTO% -- IP-Protokoll.

%SIZE% -- Paketgröße.

%FILE% -- Pfad zu einer temporären Datei, die das empfangene Paket enthält.

So wird z. B. in Ihrer Nachricht in der Meldung "SYN Paket von %SIP%, " wird %SIP% im aktuellen Popup-Windowtext ersetzt werden durch die Quell-IP-Adresse des alarmauslösenden Paketes. Wenn Sie die %FILE%-Variable verwenden, wird eine NCF-Datei in einem temporären Verzeichnis erzeugt. Es liegt in Ihrer Verantwortung diese Datei nach der Bearbeitung zu löschen. Sie sollten keine Variablen verwenden, wenn der Alarm ausgelöst wurde von Bytes/Sekunde- oder Pakete/Sekunde-Werten, da diese Alarme nicht von individuellen Paketen ausgelöst werden.

· Nachricht sprechen: Lässt Windows, unter Benutzung der Text-to-speech engine, die Nachricht sprechen. Diese Checkbox ist abgeschaltet, wenn Ihre Windows-Version keine Text-to-speech engine besitzt. Standardmäßig kommt Windows nur mit englischen Computerstimmen, sodass Windows nicht in der Lage ist, Nachrichtentext in anderen Sprachen als englisch korreckt auszusprechen. Sie können die in der Sektion Nachrichten anzeigen beschriebenen Variablen im Nachrichtentext benutzen.
· Akustisches Signal – spielt die gewählte WAV- Datei ab.
· Applikation starten Startet die ausgewählte EXE- oder COM-Datei. Mit dem optionalen Feld Parameter: können in der Befehlszeile Parameter eingegeben werden. Die Variablen, die in der Sektion Nachrichten anzeigen: beschrieben wurden können als Befehlszeilenparameter eingegeben werden, sofern Sie möchten, dass die Anwendung Informationen über das alarmauslösende Paket empfängt und bearbeitet.
· E-Mail senden an – Sendet eine E-mail an eine definierte Adresse. CommView for WiFi MUSS konfiguriert werden, um Ihren SMPT-Server vor dem Senden der E-Mail nutzen zu können. Mittels des Button E-Mail-Setup neben der Alarmliste können Sie Ihre SMPT-Server-Einstellungen eingeben und eine Test-E-Mail absenden. Man kann E-Mail-Benachrichtigungen auch an Instant Messenger-Anwendungen, Handy oder Pager senden. Um z. B. eine Nachricht an einen ICQ-User zu senden, geben Sie die E-Mail-Adresse als ICQ_USER_UIN@pager.icq.com ein, wobei ICQ_USER_UIN die eindeutige ICQ-Identifikationsnummer ist. Dazu müssen die EmailExpress Messages in den ICQ-Optionen aktiviert sein. Mehr dazu in Ihrem Instant Messenger- oder Handy-Handbuch. Das Feld Text hinzufügen kann zum Hinzufügen einer beliebigen Nachricht zur E-Mailbenachrichtigung genutzt werden. Sie können die in der Sektion Nachrichten anzeigen beschriebenen Variablen im Nachrichtentext benutzen.
· Paketerfassungsregeln aktivieren Aktiviert die Erweiterten Regeln; Sie können dort eine oder mehrere Regeln eingeben. Mehrere Regeln werden komma- bzw. semikolongetrennt eingegeben.
· Andere Alarme deaktivieren – Deaktiviert andere Alarme; Sie sollten dabei den/die Alarmnamen angeben. Mehrere Alarme werden komma- bzw. semikolongetrennt eingegeben.
· Logging starten – Startet die Autospeicherung (siehe Kapitel Logging). CommView for WiFi beginnt dann Pakete auf der Festplatte abzulegen.
· Logging stoppen – beendet die Autospeicherung.

Klicken Sie auf [OK] um die Einstellungen abzuspeichern und das Alarmdialogfenster zu schliessen.

Alle Ereignisse und Aktionen, die mit den Alarmen zu tun haben, finden Sie im Bereich Ereignis-Log: unterhalb der Alarmliste.