|
Mit diesem Dialog können Sie sich die TCP-Kommunikation zwischen zwei Host's ansehen. Um eine TCP-Sitzung zu rekonstruieren, wählen Sie als erstes ein TCP-Paket im Register Pakete. Abhängig von den Einstellungen (Checkbox: Suche den Sitzungstart wenn TCP-Sitzungsrekonstruktion startet in Einstellungen => Optionen => Dekodierung), wird die Sitzung von dem ausgewählten Paket ausgehend (kann ein Paket aus der Sitzungsmitte oder vom Sitzungsstart sein) rekonstruiert. Nach dem Sie das Paket gefunden und ausgewählt haben, führen Sie einen Rechtsklick darauf aus und wählen TCP-Sitzung rekonstruieren wie unten gezeigt:
Rekonstruktionssessions funktionieren am besten mit textbasierten Protokollen, wie POP3, Telnet oder HTTP. Natürlich können Sie den Download einer großen Zipdatei rekonstruieren, aber es kann sein, dass CommView für die Rekonstruktion von mehreren Megabytes sehr lange braucht, und meist ist dann auch die erhaltene Information sinnlos.
Das Register Inhalt zeigt die aktuellen Sitzungsdaten an, während das Register Sitzungsanalyse den Fluss der rekonstruierten TCP-Sitzungen graphisch darstellt.
Eine Beispiel-HTTP-Session mit HTML-Daten, die im ASCII- und HTML-Modus angezeigt werden, ist im Folgenden dargestellt:
Im HTML-Anzeigemodus werden in den HTML-Seiten niemals Bilder angezeigt, da im HTTP-Protokoll Bilder separiert vom Text übertragen werden. Um diese Bilder zu sehen, müssen Sie zur nächsten TCP-Sitzung navigieren. Im Folgenden finden Sie ein Beispiel für eine HTTP-Sitzung, die Bilder enthält und im HTML-Modus angezeigt wird:
Standardmässig versucht CommView GZIP-ten Webinhalt zu dekomprimieren und Bilder aus dem Binärstrom zu rekonstruieren. Diese Funktion kann im Optionen Dialog mittels des Bereichs Decodierung abgeschaltet werden.
Wenn Sie im unteren Bereich eine der Checkboxen deaktivieren können Sie Daten, die aus einer bestimmten Richtung kommen, ausfiltern. Ein- und ausgehende Daten haben, um markanter zu sein, verschiedene Farben. Diese Farben können Sie mittels Einstellungen => Farben ändern. Wordwrapping kann mittels Word Wrap im Menü Einstellungen aktiviert bzw. Deaktiviert werden.
Mittels der Dropdown-Liste Anzeigetyp können Sie die Daten in folgenden Formaten ansehen: ASCII- (Klartext), HEX- (hexadezimal), HTML- (Webseiten und Bilder), EBCDIC-Format (IBM mainframes' data encoding) und UTF-8 (Unicode-Daten). Bitte beachten Sie, dass die Ansicht der Daten im HTML-Format nicht automatisch das selbe Ergebniss bringt, wie mit dem Webbrowser (Sie sehen dann keine Inlinegrafik), dennoch erhalten Sie eine ungefähre Vorstellung wie die Seite im Original aussah.
Im Dialogfenster Optionen können Sie unter Decodierung festlegen, wie der Standardanzeigetyp für die Rekonstruktion von TCP Sessions aussieht.
Mit den Navigations Buttons können Sie den Puffer nach der nächsten oder letzten TCP Session absuchen. Der erste Vorwärtsbutton (>>) sucht nach der nächsten Session zwischen den zwei Hosts, die an der ersten Rekonstruktionssession beteiligt waren. Der zweite Vorwärtsbutton (>>>) sucht nach der nächsten Session zwischen zwei beliebigen Hosts. Wenn Sie mehrere TCP Sessions zwischen den zwei Hosts im Puffer haben und alle nach und nach ansehen wollen, empfehlen wir mit der Rekonstruktion der ersten Session anzufangen, da der Rückwärtsbutton (<<) nicht weiter zurück als mit der erstrekonstruierten TCP Session gehen kann.
Die so erhaltenen Daten können als Binärdaten , HTML-, Text- oder Rich-Textdatei durch Klicken auf Datei => Speichern unter… gesichert werden. Wenn Sie in ein Textformat speichern, ist die Ergebnisdatei eine Unicode UTF-16-Datei. Wird ins HTML-Format gespeichert, ist die Verschlüsselung der Ergebnisdatei vom aktuell gewählten Anzeigetyp abhängig. Wenn HTML aktuell gewählt ist, wird die Ergebnisdatei eine ANSI-Textdatei, für alle anderen Anzeigetypen ist die Ergebnisdatei eine Unicode UTF-16-Datei. Beachten Sie, wenn Sie eine HTTP-Sitzung mit Bildern speichern, werden die Bilder in das temporäre Verzeichnis auf Ihrer Festplatte gespeichjert, falls Sie die Bilder behalten möchten, öffnen Sie die gespeicherte Datei in Ihrem Browser und speichern die Datei in einem Format, dass Bilder beinhaltet, z.B. MHT, .bevor Sie CommView schließen.
Sie können durch Klicken auf Bearbeiten => Finden… nach einer Zeichenkette in der Sitzung suchen.
Sitzungsanalyse
Das Register Sitzungsanalyse des TCP-Sitzungsfensters stellt rekonstruierte TCP-Sitzungen grafisch dar. Sie können den Sitzungsdatenfluss, Fehler, Verzögerungen und verlorene erneut übertragene Daten sehen.
Die folgenden Daten werden für jedes Sitzungspaket angezeigt:
| • | Absolute und relative SEQ- und ACK-Werte. |
| • | Zeitdifferenz zwischen dem aktuellen und dem vorhergehenden Paket. |
| • | Paketnummer in der rekonstruierten Sitzung. |
Wenn ein Paket Fehler beinhaltet, wird die Eigenschaft des Fehlers erklärt. Es erscheint ein Beschreibungstext am rechten Rand des Diagramms. Wenn Sie die Maus über ein Paket mit Dateninhalt bewegen, wird der Dateninhalt in einem Hinweisfenster angezeigt. Beachten Sie, dass das Feld Anzeigetyp bestimmt, wie die Daten im Anzeigefenster decodiert werden. Ein Beispiel für ein Sitzungsanalysefenster wird unten gezeigt:
Der rechte Ausschnitt zeigt einige Basisstatistiken für die vorgegebene Sitzung:
Verbindungszeit – Die benötigte Zeit zur Herstellung der TCP-Verbindung. In anderen Worten, es ist die Dreiweg-TCP-Handshake-Zeit (SYN => SYN ACK => ACK).
Server-Antwortzeit – Die verstrichene Zeit zwischen der Klientenanfangsanfrage und der ersten Datenantwort des Server's.
Datenübertragungszeit – Die Zeit zwischen der ersten und der letzten Datenantwort des Server's (0 bei nur einer Server-Antwort).
Sie können das grafische Schaubild der rekonstruierten TCP-Sitzung als BMP-, GIF- oder PNG-Datei durch Rechtsklick auf das Schaubild und Auswahl des Kontextmenüpunktes Bild speichern als… speichern. Sitzungen mit einer großen Paketanzahl werden in mehrere Dateien aufgeteilt.
| 
