Home
Contents

WLAN Analysator und Decoder - CommView for WiFi

Prev Page Next Page
 
Einführung
Über CommView for WiFi
Was ist neu
Programmbenutzung
Installation der Treiber
Übersicht
Hauptmenü
Knoten
Fenster über Details zum AP und zur Station
Kanäle
Aktuelle IP-Verbindungen
Pakete
Logging
Logbetrachter
Regeln
Erweiterte Regeln
Alarme
WEP/WPA Schlüssel
Rekonstruktion von TCP-Sitzungen
UDP-Ströme rekonstruieren
Pakete suchen
Statistiken und Berichte
Die Verwendung von Kennnamen
Paketgenerator
Optischer Paketersteller
NIC Vendor (Hersteller) Identifier (Identifiziertool)
Scheduler
Knotenzuordnung wiederherstellen
Der Einsatz des Remote Agent
RPCAP anwenden
Aruba Remote Capture anwenden
Port Referenz
Einstellungen
Häufig gestellte Fragen
VoIP-Analyse
Einleitung
Arbeiten mit dem VoIP-Analyser
SIP- und H.323-Sitzungen
RTP-Ströme
Registrierungen, Endpunkte, Fehler
Anrufprotokoll und Berichte
Anrufswiedergabe
VoIP-Protokollbetrachter
Arbeiten mit Auflistungen im VoIP-Analyser
NVF-Dateien
Weiterführende Themen
802.11n- und 802.11 ac-Netzwerke überwachen
Hintergründe von CRC- und ICV-Fehlern
Hintergründe der WPA-Entschlüsselung
Signalstärke
A-MPDU- und A-MSDU-Pakete erfassen
CommView for WiFi innerhalb virtueller Maschine benutzen
Mehrkanalerfassung
Spektralanalyse
Erfassung von intensivem Verkehr
CommView im nichtsichtbaren Modus
Kommandozeilen Parameter
Datenaustausch mit Ihrer Anwendung
Maßgeschneidertes Decoding
CommView Logdateien Format
Information
Wie kann man CommView kaufen

Rekonstruktion von TCP-Sitzungen

Mit diesem Dialog können Sie sich die TCP-Kommunikation zwischen zwei Host’s ansehen. Um eine TCP-Sitzung zu rekonstruieren, wählen Sie als erstes ein TCP-Paket im Register Pakete. Abhängig von den Einstellungen (Checkbox: Suche den Sitzungstart wenn TCP-Sitzungsrekonstruktion startet in Einstellungen => Optionen => Dekodierung), wird die Sitzung von dem ausgewählten Paket ausgehend (kann ein Paket aus der Sitzungsmitte oder vom Sitzungsstart sein) rekonstruiert. Nach dem Sie das Paket gefunden und ausgewählt haben, führen Sie einen Rechtsklick darauf aus und wählen TCP-Sitzung rekonstruieren wie unten gezeigt:

reconstruct 1

Rekonstruktionssitzungen funktionieren am besten mit textbasierten Protokollen, wie POP3, Telnet oder HTTP. Natürlich können Sie den Download einer großen Zip-Datei rekonstruieren, aber es kann sein, dass CommView for WiFi für die Rekonstruktion von mehreren Megabytes sehr lange braucht, und meist ist dann auch die erhaltene Information sinnlos.

Das Register Inhalt zeigt die aktuellen Sitzungsdaten an, während das Register Sitzungsanalyse den Fluss der rekonstruierten TCP-Sitzungen graphisch darstellt.

Eine Beispiel-HTTP-Session mit HTML-Daten, die im ASCII- und HTML-Modus angezeigt werden, ist im Folgenden dargestellt:

tcp1

tcp2

Normalerweise werden im HTML-Anzeigemodus in den HTML-Seiten keine Bilder angezeigt, da im HTTP-Protokoll Bilder separiert vom Text übertragen werden. Um diese Bilder zu sehen, müssen Sie zur nächsten TCP-Sitzung navigieren. Im Folgenden finden Sie ein Beispiel für eine HTTP-Sitzung, die Bilder enthält und im HTML-Modus angezeigt wird:

tcp3

Standardmäßig versucht CommView for WiFi GZIP-ten Webinhalt zu dekomprimieren und Bilder aus dem Binärstrom zu rekonstruieren. Diese Funktion kann im Dialog Einstellungen mittels des Bereichs Decodierung abgeschaltet werden.

Wenn Sie im unteren Bereich eine der Checkboxen deaktivieren, können Sie Daten, die aus einer bestimmten Richtung kommen ausfiltern. Ein- und ausgehende Daten sind zur besseren Erkennung durch verschiedene Farben markiert. Diese Farben können Sie mittels Einstellungen => Farben ändern. Wort-Wrapping kann mittels Einstellungen => Word Wrap aktiviert/deaktiviert werden.

Mittels der Dropdown-Liste Anzeigetyp können Sie die Daten in folgenden Formaten ansehen: ASCII- (Klartext), HEX- (hexadezimal), HTML- (Webseiten und Bilder), EBCDIC-Format (IBM mainframes' data encoding) und UTF-8 (Unicode-Daten). Bitte beachten Sie, dass die Ansicht der Daten im HTML-Format nicht automatisch dasselbe Ergebniss bringt, wie mit dem Webbrowser (Sie sehen dann keine Inlinegrafik), dennoch erhalten Sie eine ungefähre Vorstellung wie die Seite im Original aussah.

Im Dialog Optionen können Sie unter Decodierung festlegen, wie der Standardanzeigetyp für die Rekonstruktion von TCP- Sessions aussieht.

Mit den Navigation-Buttons können Sie den Puffer nach der nächsten oder letzten TCP-Sitzung absuchen. Der erste Vorwärts-Button [>>] sucht nach der nächsten Sitzung zwischen den beiden Hosts, die an der ersten Rekonstruktionssitzung beteiligt waren. Der zweite Vorwärts-Button [>>>] sucht nach der nächsten Sitzung zwischen zwei beliebigen Hosts. Wenn Sie mehrere TCP-Sitzungen zwischen den zwei Hosts im Puffer haben und alle nacheinander ansehen wollen, empfehlen wir mit der Rekonstruktion der ersten Sitzung anzufangen, da der Rückwärtsbutton [<<] nicht weiter zurück als bis zur zuerstrekonstruierten TCP-Sitzung gehen kann.

Die so erhaltenen Daten können als Binärdaten, HTML-, Text- oder Rich-Textdatei durch Klicken auf Datei => Speichern unter… gesichert werden. Wenn Sie in ein Textformat speichern, ist die Ergebnisdatei eine Unicode UTF-16-Datei. Wird ins HTML-Format gespeichert, ist die Verschlüsselung der Ergebnisdatei vom aktuell gewählten Anzeigetyp abhängig. Wenn HTML aktuell gewählt ist, wird die Ergebnisdatei eine ANSI-Textdatei, für alle anderen Anzeigetypen ist die Ergebnisdatei eine Unicode UTF-16-Datei. Beachten Sie, wenn Sie eine HTTP-Sitzung mit Bildern speichern, werden die Bilder in das temporäre Verzeichnis auf Ihrer Festplatte gespeichjert, falls Sie die Bilder behalten möchten, öffnen Sie die gespeicherte Datei in Ihrem Browser und speichern die Datei in einem Format, dass Bilder beinhaltet, z.B. MHT, .bevor Sie CommView for WiFi schließen.

Sie können durch Klicken auf Bearbeiten => Finden… nach einer Zeichenkette in der Sitzung suchen.

Sitzungsanalyse

Das Register Sitzungsanalyse des TCP-Sitzungsfensters stellt rekonstruierte TCP-Sitzungen grafisch dar. Sie können den Sitzungsdatenfluss, Fehler, Verzögerungen und verlorene erneut übertragene Daten sehen.

Die folgenden Daten werden für jedes Sitzungspaket angezeigt:

· TCP-Flags.
· Absolute und relative SEQ- und ACK-Werte.
· Paketankunftszeit.
· Zeitdifferenz zwischen dem aktuellen und dem vorhergehenden Paket.
· Paketnummer in der rekonstruierten Sitzung.

Wenn ein Paket Fehler beinhaltet, wird die Eigenschaft des Fehlers erklärt. Es erscheint ein Beschreibungstext am rechten Rand des Diagramms. Wenn Sie die Maus über ein Paket mit Dateninhalt bewegen, wird der Dateninhalt in einem Hinweisfenster angezeigt. Beachten Sie, dass das Feld Anzeigetyp bestimmt, wie die Daten im Anzeigefenster decodiert werden. Ein Beispiel für ein Sitzungsanalysefenster wird unten gezeigt:

sess analysis

Der rechte Ausschnitt zeigt einige Basisstatistiken für die vorgegebene Sitzung:

Verbindungszeit – Die benötigte Zeit zur Herstellung der TCP-Verbindung. In anderen Worten, es ist die Dreiweg-TCP-Handshake-Zeit (SYN => SYN ACK => ACK).

Server-Antwortzeit – Die verstrichene Zeit zwischen der Klientenanfangsanfrage und der ersten Datenantwort des Server’s.

Datenübertragungszeit – Die Zeit zwischen der ersten und der letzten Datenantwort des Server's (0 bei nur einer Server-Antwort).

Sie können das grafische Schaubild der rekonstruierten TCP-Sitzung als BMP-, GIF- oder PNG-Datei durch Rechtsklick auf das Schaubild und Auswahl des Kontextmenüpunktes Bild speichern als… speichern. Sitzungen mit einer großen Paketanzahl werden in mehrere Dateien aufgeteilt.