Home
Contents

WLAN Analysator und Decoder - CommView for WiFi

Prev Page Next Page
 
Einführung
Über CommView for WiFi
Was ist neu
Programmbenutzung
Installation der Treiber
Übersicht
Hauptmenü
Knoten
Fenster über Details zum AP und zur Station
Kanäle
Aktuelle IP-Verbindungen
Pakete
Logging
Logbetrachter
Regeln
Erweiterte Regeln
Alarme
WEP/WPA Schlüssel
Rekonstruktion von TCP-Sitzungen
UDP-Ströme rekonstruieren
Pakete suchen
Statistiken und Berichte
Die Verwendung von Kennnamen
Paketgenerator
Optischer Paketersteller
NIC Vendor (Hersteller) Identifier (Identifiziertool)
Scheduler
Knotenzuordnung wiederherstellen
Der Einsatz des Remote Agent
RPCAP anwenden
Aruba Remote Capture anwenden
Port Referenz
Einstellungen
Häufig gestellte Fragen
VoIP-Analyse
Einleitung
Arbeiten mit dem VoIP-Analyser
SIP- und H.323-Sitzungen
RTP-Ströme
Registrierungen, Endpunkte, Fehler
Anrufprotokoll und Berichte
Anrufswiedergabe
VoIP-Protokollbetrachter
Arbeiten mit Auflistungen im VoIP-Analyser
NVF-Dateien
Weiterführende Themen
802.11n- und 802.11 ac-Netzwerke überwachen
Hintergründe von CRC- und ICV-Fehlern
Hintergründe der WPA-Entschlüsselung
Signalstärke
A-MPDU- und A-MSDU-Pakete erfassen
CommView for WiFi innerhalb virtueller Maschine benutzen
Mehrkanalerfassung
Spektralanalyse
Erfassung von intensivem Verkehr
CommView im nichtsichtbaren Modus
Kommandozeilen Parameter
Datenaustausch mit Ihrer Anwendung
Maßgeschneidertes Decoding
CommView Logdateien Format
Information
Wie kann man CommView kaufen

Einstellungen

Sie können einige Programmeinstellungen konfigurieren im Menü Einstellungen.

Allgemein

Autostart-Paketerfassung – Aktivieren Sie diese Checkbox, wenn CommView for WiFi sofort nach dem Programmstart mit dem Empfang von Paketen beginnen soll. Den entsprechend zu überwachenden Kanal wählen Sie mit der Dropdown-Liste.

Keine DNS/Auflösung – Mit dieser Checkbox verhindern Sie, dass CommView for WiFi "reverse DNS lookups" der IP-Adressen durchführt. Wenn die Checkbox aktiviert ist bleibt die Spalte Hostname im Register Letzte IP Verbindungen leer.

Portnummern in Servicenamen konvertieren – Aktivieren Sie diese Checkbox, wenn CommView for WiFi Servicenamen statt Nummern anzeigen soll. Wenn die Checkbox aktiviert ist, wird z. B. Port 21 als ftp und Port 23 als telnet angezeigt. Über die von Windows installierte SERVICES-Datei wandelt das Programm die numerischen Werte in Servicenamen um. Sie finden die Datei im Verzeichnis C:\Windows\system32\drivers\etc. Sie können diese Datei manuell editieren, wenn sie mehr Portnummern/Services hinzufügen möchten.

MAC-Adressen in Kennnamen konvertieren – Wandelt im Register Pakete MAC/Adressen in Kennnamen um. Kennnamen können über das Menü Einstellungen => MAC Kennnamen MAC-Adressen zugeordnet werden.

IP-Adressen in Kennnamen konvertieren – Wandelt in den Registern Pakete und Statistiken IP-Adressen in Kennnamen um. Kennnamen können über das Menü Einstellungen => IP Kennname IP-Adressen zugeordnet werden.

IP-Adressen im Register Pakete in Hostnamen konvertieren – Wählen Sie diese Checkbox, wenn CommView for WiFi aufgelöste Hostnamen statt IP-Adressen im Register Pakete anzeigen soll. Wenn diese Checkbox aktiv ist, versucht CommView for WiFi zuerst einen Kennnamen für die genannte IP-Adresse zu finden. Wenn kein Kennname gefunden wird oder die vorhergehende Checkbox IP-Adressen in Kennnamen konvertieren nicht aktiviert wurde, wird CommView for WiFi den internen DNS-Cache nach einem Hostnamen absuchen. Wenn kein Hostname gefunden wird, wird die IP-Adresse in numerischer Form dargestellt.

Herstellernamen in MAC-Adressen anzeigen – CommView for WiFi ersetzt standardmäßig im Register Pakete die ersten drei Oktets der MAC-Adresse durch den Adapterherstellernamen. Wenn Sie dies nicht wünschen müssen Sie die Checkbox deaktivieren.

Defekte Pakete erfassen – Durch Faktoren wie lange Distanzen, Radiointerferenzen und andere physikalische Phänomene können einige von Ihrem Adapter empfangene Pakete beschädigt sein, z. B. ganz oder teilweise unbrauchbare Daten enthalten. Aktivieren Sie die Checkbox, wenn solche Pakete empfangen und vom Programm dargestellt werden sollen. Dies hat Vor- und Nachteile. Der Vorteil ist, wenn Sie weit von den WLAN-Stationen bzw. Accesspoints entfernt sind, ein großer Teil der Pakete beschädigt sein kann. Sie können mit dieser Option mehr Daten sehen, selbst wenn diese wirklich beschädigt sind. Der Nachteil ist jedoch, dass Sie Daten mit ungültigen Inhalten sehen, z. B. IP-Pakete von nicht existierenden IP-Adressen. Ferner wird das Programm versuchen, wenn diese Option aktiv ist, selbst die WEP- bzw. WPA-verschlüsselten Daten zu entschlüsseln, bei denen der so genannte "Integrity Check Value" falsch ist, die Header jedoch gültig zu sein scheinen.

Speicherauslastung

Anzeige

Maximale Anzahl Pakete im Puffer – Definiert die maximale Anzahl von Paketen, die das Programm im Speicher haben kann und zeigt die Paketliste (Zweites Register). Sie können z. B. den Wert auf 3000 setzen. Dann werden nur die letzten 3000 Pakete im Speicher bzw. in der Paketliste berücksichtigt. Je höher dieser Wert ist, desto mehr Computerressourcen benötigt das Programm.

Beachten Sie, wenn Sie Zugang zu sehr vielen Paketen benötigen, dass Sie die Autospeicherungsfunktion nutzen (mehr dazu unter Logging). Damit können Sie alle Pakete in einer Logdatei auf der Festplatte ablegen.

Maximale Zeilenanzahl der aktuellen IP-Verbindungen – Legt die Anzahl der Zeilen zur Anzeige der aktuellen IP- Verdingungen fest. Wenn die Anzahl der Verbindungen den Schwellenwert überschreitet, werden die Verbindungen die am längsten nicht aktiv waren aus der Liste entfernt.

Treiber-Puffer – definiert die Treiberpuffergröße. Diese Einstellung beeinflusst die Performance des Programms. Je mehr Speicher für den Treiberpuffer reserviert ist, desto weniger Pakete verliert das Programm. Für LAN’s mit geringem Verkehr ist die Puffergröße nicht wichtig. Für WLAN’s mit hohem Verkehr sollten Sie jedoch die Puffergröße erhöhen, wenn das Programm zu viele Pakete verliert. Die Anzahl der verlorenen Pakete ermitteln Sie mittels Datei => Durchsatzdaten wenn die Paketerfassung aktiviert ist.

Letzte IP-Verbindungen

Logik anzeigen – Ermöglicht die Auswahl des Layouts der aktuellen IP-Verbindungen an Ihre Bedürfnisse anzupassen. Mit der Auswahl eines Objektes aus der Dropdown-Liste wird die ausgewählte Logik angezeigt.

Lokale IP-Adressen definieren – Dieses Tool sollten Sie verwenden, wenn Sie WLAN-Verkehr beobachten, der viele Pass-through-Pakete und eine Mischung aus internen und externen IP-Adressen enthält. In solch einer Situation weiß CommView for WiFi nicht, welche IP-Adressen als lokale Adressen definiert werden sollen und könnte dann die IP-Adressen in den Quell- und Ziel-IP-Spalten vertauschen. Mit diesem Werkzeug definieren Sie die lokalen Netzwerkadressen und Subnet-Masken, um sicher zu sein, dass die aktuellen IP-Verbindungen richtig angezeigt werden. Dies funktioniert jedoch nur mit der standardmäßigen Smart-Logik.

Farben

Paketfarbe – Definiert die Farben für die verschiedenen Paketarten (normal, schadhafte CRC, schadhafte ICV) im Register Pakete.

Paket-Header einfärben - Aktivieren Sie diese Checkbox, wenn CommView for WiFi Paketinhalte einfärben soll. Wenn diese Checkbox aktiv ist, zeigt das Programm die ersten acht Paketschichten mit verschiedenen Farben an. Zum Ändern einer Farbe wählen Sie die zu ändernde Header-Art und klicken dann auf das farbige Rechteck.

Formelsyntax hervorheben – Definiert die Farben zum Hervorheben der Schlüsselwörter in den Formeln für die Erweiterte Regeln.

Ausgewählte Bytesequenzfarbe – Definiert den Font und die Hintergrundfarbe für die Darstellung der Bytesequenz, die im Decoderbaum gewählt wurde. Wählen Sie z. B. den TCP-Baumknoten, werden die entsprechenden Teile des Pakets mit diesen Farben hervorgehoben.

Rahmenfarbverwaltung - Stellt die Farben für verschiedene Typen von Verwaltungsrahmen ein. Farbe wird in der Spalte Protokoll des Registers Pakete benutzt um zugehörige Rahmentypen anzuzeigen.

Decodierung

Inhalt aller Knoten im Decoderfenster anzeigen – Aktivieren sie diese Checkbox, um alle Knoten im Decoderfenster automatisch geöffnet darzustellen wenn Sie ein neues Paket in der Paketliste wählen.

Letzten Knoten aufklappen – Aktivieren Sie diese Checkbox, wenn Sie möchten, dass die letzten Knoten im Decoderfenster automatisch aufgeklappt werden, wählen Sie ein neues Paket in der Paketeliste aus und geben die Anzahl der aufzuklappenden Knoten ein.

Ebene ausklappen – Bestimmen Sie die Anzahl der Ebenen, die Sie ausklappen möchten.

Für ASCII-Export nur bis zur ersten Ebene decodieren – Diese Option beeinflusst das Decodierformat für den Export eines Paketlogs bzw. eines individuellen Paketes als ASCII-Datei mit Decodierung. Wenn diese Checkbox aktiv ist, werden nur die Knoten der höchsten Ebene abgespeichert. Wenn Sie z. B. ein TCP/IP-Paket speichern möchten, während diese Funktion deaktiviert ist, werden alle Arten von Service-Sub-Knoten auch gespeichert. Wenn die Option aktiv ist, werden die Sub-Knoten nicht mitgespeichert. Damit wird die Ausgabe der ASCII-Dateien weniger detailliert und kompakter.

Falsche Prüfsummen für die TCP-Sitzungsrekonstruktion ignorieren – Hiermit beeinflussen Sie, wie CommView for WiFi mit schadhaften TCP/IP-Paketen umgeht, wenn das Programm TCP-Sitzungen rekonstruiert. Standardmäßig ist diese Option aktiviert, d.h. auch Pakete mit falscher Prüfsumme werden in der Rekonstruktion berücksichtigt und angezeigt. Wenn Sie diese Option abschalten, werden Pakete mit falscher Prüfsumme verworfen und nicht im TCP-Rekonstruktionsfenster angezeigt.

Paketnummern einbinden bei Sitzungsrekonstruktion - aktivieren Sie diese Checkbox, wenn Sie möchten, dass die Dateneinheiten im TCP-Sitzungsrekonstruktionsfenster mit zugehörigen, vorangestellten Paketnummern dargestellt werden.

Bei TCP-Sitzungsrekonstruktion nach dem Sitzungsstart suchen - wenn diese Checkbox angekreuzt ist, wird das Programm versuchen, den Beginn der TCP-Sitzung zu finden, wenn Sie die Sitzung rekonstruieren. Ist die Checkbox nicht aktiviert, wird die Sitzung von dem gewählten Paket ausgehend rekonstruiert, d.h. früher Pakete werden verworfen.

GZIP-Inhalt entpacken – Aktivieren Sie diese Checkbox damit CommView for WiFi GZIP-komprimierten HTTP-Inhalt in lesbaren Text innerhalb des TCP-Sitzungsrekonstruktionsfenster darstellt. GZIP-Inhalt wird nur dekomprimiert, wenn der Anzeigetyp im Fenster auf ASCII gesetzt ist.

Bilder rekonstruieren – Aktivieren Sie diese Checkbox, wenn CommView for WiFi binäre HTTP-Streams, die Bilder darstellen, in betrachtungsfähige JPG-, BMP-, PNG- und GIF-Bilder im TCP-Sitzungsrekonstruktionsfenster verwandeln soll. Bilder werden nur angezeigt, wenn der Anzeigetyp im Fenster auf HTML gestzt ist. Bilder werden niemals innerhalb der HTML-Seite angezeigt, zu der sie gehören, sie werden durch den Server in einer separaten Sitzung übertragen.

IPv4-Formendungen in IPv6-Adressen verwenden - wenn diese Checkbox nicht angekreuzt ist, werden IPv6-Adressen nur in hexadezimaler Schreibweise dargestellt, z.B. fe80::02c00:26ff:fe2d:edb5. Ist die Checkbox angekreuzt, werden die letzten 4 Byte der IPv6-Adressen in der IPv4-Darstellungsart angezeigt, z.B. fe80::02c00:26ff:254.45.237.181.

Fragmentierte IP-Paket wieder zusammensetzen - kreuzen Sie diese Checkbox an, wenn das Programm fragmentierte IP-Pakets wieder zusammensetzen soll. Standardmäßig werden fragmentierte IP-Pakete angezeigt, wie Sie empfangen wurden, in ihrer Originalform. Ist diese Option eingeschaltet, wird das Programm einen internen Fragmentpuffer erhalten und versuchen, die Fragmente zusammenzufügen. Dabei werden nur erfolgreich zusammengesetzte Fragmente als Ergebnis angezeigt.

Signalstärke in dBm anzeigen – aktivieren Sie diese Checkbox wenn Sie möchten, dass die Signalstärke in dBM anstatt in Prozent angezeigt werden soll. Die Nutzbarkeit der Signalstärke in dBM ist abhängig vom benutzten drahtlosen Adapter. Weiterführende Informationen finden Sie im Kapitel Signalstärke.

Standard Anzeigetyp – Wählen Sie aus der Dropdown-Liste den Anzeigetyp, den Sie als Standard für die TCP-Sitzungsrekonstruktion setzen wollen. Erlaubte Werte sind ASCII, HEX, HTML und EBCDIC.

VoIP

Hinweis: Das VoIP-Analysemodul ist nur für VoIP-Lizenz- oder Testversionsbenutzer verfügbar, die den VoIP-Testmodus gewählt haben.

VoIP-Analyse deaktivieren – Deaktivierung der Erfassung und Analyse von VoIP-Daten. Aktivieren Sie diese Checkbox wenn Sie nicht mit VoIP arbeiten und wenn Sie die Benutzung der Computerressourcen duch die Applikation minimieren möchten.

Maximale Aufzeichnungen in der Liste – Begrenzt die Anzahl der angezeigten und verarbeiteten VoIP-Vorgänge. Wenn die Anzahl der Aufzeichnungen die festgelegte Begrenzung übersteigt, werden ältere Aufzeichnungen aus der Liste gelöscht.

Verwaiste RTP-Ströme ignorieren – Wenn diese Checkbox aktiviert ist, ignoriert der VoIP-Analyser RTP-Datenströme die keine Ausgangssignalsitzung haben. Verwaiste RTP-Ströme entstehen typischerweise wenn die Paketerfassung in der Mitte eines Telefonates gestartet wird oder das Signalprotokoll der Applikation unbekannt ist (z.B. kein SIP oder H.323) oder das Signalprotokoll wurde in einer nichtstandardisierten Art und Weise gesendet (z.B. verschlüsselt oder als Teil einiger anderer Sitzungen). Solche Ströme sind immer noch zur Analyse verfügbar und manchmal zur Wiedergabe. Schauen Sie bitte in das Kapitel Telefonate wiedergeben um detaillierte Informationen über die Wiedergabe von Telefonaten zu erhalten. Deaktivieren Sie diese Option, wenn Sie kein Interesse an solchen verwaisten Strömen haben und Computerressourcen sparen möchten. Beachten Sie, wenn verwaiste Ströme nicht ignoriert werden kann der VoIP-Analyser über das UDP-Protokoll übertragene Ströme irrtümlicherweise als RTP-Ströme identifizieren. Allgemein ist dies kein Fehler, weil RTP-Pakete keine standardisierte einheitliche Signatur besitzen, deshalb sind solche "Falschpositiven Ergebnisse" in Ordnung.

Beschädigte Pakete im VoIP-Analyser ignorieren – Wenn diese Checkbox aktiviert wird, werden drahtlose Pakete mit schlechtem CRC durch das VoIP-Analysermodul verworfen. Dies hinderd die Applikation daran "Geistersignale" zu erstellen oder Medienströme, die wie Pakete mit schlechtem CRC erscheinen, werden nicht ausgeschieden.

Geo-Standort

Geo-Standort ist die Länderzuordnung für IP-Adressen. Wenn diese Funktionalität aktiviert ist, überprüft CommView for WiFi die interne Datenbank um die zugehörigen Ländernformationen für jede IP-Adresse. Sie können das Programm so konfigurieren, dass es den ISO-Ländercode, den Landesnamen oder die Landesflagge für jede IP-Adresse anzeigt. Sie können Geo-Standort auch deaktivieren. Für einige reservierte IP-Adressen (z. B. 192.168.*.* oder 10.*.*.*) kann keine Länderinforrmation zugeteilt werden. In solchen Fällen wird der Landesname nicht angezeigt, oder falls Sie die Option Landesflagge benutzen, wird eine Flagge mit einem Fragezeichen angezeigt.

Wenn die IP-Zuweisung ständig wechselt, ist es wichtig, dass Sie immer eine aktuelle Version von CommView for WiFi benutzen. Eine frische aktuelle Datenbank ist in jeder Ausgabe von CommView for WiFi. Eine frische Datenbank hat eine 98%ige Treffgenauigkeit. Ohne Updates fällt die Treffgenauigkeit jedes Jahr prozentual um ca. 15%.

Verschiedenes

Bei minimierter Darstellung nicht in der Taskleiste anzeigen – Aktiveren Sie diese Checkbox, wenn beim Minimieren des Fensters der Button nicht in der Taskleiste angezeigt werden soll. Wenn diese Checkbox aktiv ist wird das Programm nach der Minimierung über ein System Tray-Icon erneut geöffnet.

Verlassen der Applikation bestätigen – Aktivieren Sie diese Checkbox, wenn Sie die Programmbeendigung bestätigen möchten.

Auto-Scrollen im Register Pakete – Wenn diese Checkbox aktiv ist, scrollt das Programm den Text im Register Pakete automatisch, wenn Sie ein neues Paket aus der Paketliste auswählen (nur wenn der Text nicht in das Fenster passt). Dies ist nützlich, wenn sie bei einem großen Paket die Inhalte ansehen wollen ohne manuell scrollen zu müssen.

Auto-Scrollen in Paketliste zum letzten Paket – Wenn diese Checkox aktiv ist, scrollt das Programm automatisch im Register Pakete die Paketliste durch bis zum letzten erhaltenen Paket.

Sortieren neuester Datensätze der aktuellen IP-Verbindungen – Wenn diese Checkbox aktiv ist, sortiert das Programm automatisch die neuen Einträge im Register Aktuelle IP Verbindungen nach einem benutzerdefinierten Kriterium (z. B. aufsteigende Reihenfolge der Remote-IP-Adressen).

Smart CPU-Control verwenden – Wenn diese Checkbox aktiv ist versucht das Programm durch Senkung der Qualität und Frequenz der Bildschirm-Updates die CPU-Last beim Empfangen von sehr starkem Verkehr zu senken.

Mit Windows starten – Wenn diese Checkbox aktiv ist startet das Programm jedesmal, wenn Windows gestartet wird. Unter Windows Vista und höher, ist diese Checkbox wirkungslos, wenn UAC aktiviert ist. Dies ist eine Einschränkung von Vista die letzten Windows-Versionen, die verhindern, dass Applikationen mit höheren Rechten beim Windowsstart geladen werden. Wenn diese Funktionalität wichtig ist, deaktivieren Sie UAC.

Minimiert starten – Wenn diese Checkbox aktiv ist, wird das Programm minimiert gestartet und das Hauptfenster nicht angezeigt bis Sie das Systemtray-Icon oder den Taskleisten-Button gedrückt haben.

Gitternetz anzeigen – Lässt das Programm Rasterlinien in den Pakete-, Kanäle-, und AP-Listen anzeigen.

Automatische Applikations-Updates aktivieren – Mit dieser Checkbox lassen Sie das Programm sich regelmäßig mit der TamoSoft-Website verbinden und nach Updates suchen. Mit dem Eingabefeld Intervall zwischen den Checks definieren Sie in welchen Abständen diese Überprüfung durchgeführt werden soll.

Plug-Ins

Dieser Bereich wird für Plug-Ins von Drittherstellern benötigt um Konfigurationsaufgaben zu ermöglichen. Weitere Informationen finden sie unter Maßgeschneidertes Decoding.