TamoSoft: Network Analysis Tools & Security Software
Contents

WLAN Netzwerkmonitor und -analyser - CommView for WiFi
 
Einführung
Über CommView for WiFi
Was ist neu?
Zur Benutzung des Programmes
Installation der Treiber
Übersicht
Scanner
Knoten
Kanäle
Letzte IP-Verbindungen
Pakete
Logging
Logbetrachter
Regeln
Erweiterte Regeln
Alarm
WEP/WPA Schlüssel
Rekonstruktion von TCP Sessions
UDP-Streams rekonstruieren
Statistiken und Berichte
Die Verwendung von Kennnamen
Paketgenerator
Optischer Paketersteller
NIC Vendor (Hersteller) Identifier (Identifiziertool)
Scheduler
Knotenzuordnung wiederherstellen
Der Einsatz des Remote Agent für WiFi
Einstellungen
Häufig gestellte Fragen
VoIP-Analyse
Einleitung
Arbeiten mit dem VoIP-Analyser
SIP- und H.323-Sitzungen
RTP-Ströme
Registrierungen
Endpunkte
Fehler
Anrufprotokoll
Berichte
Anrufswiedergabe
VoIP-Protokollbetrachter
Arbeiten mit Auflistungen im VoIP-Analyser
NVF-Dateien
Weiterführende Themen
Hintergründe von CRC- und ICV-Fehlern
Hintergründe der WPA Entschlüsselung
Signalstärke
802.11n Netzwerke uberwachen
A-MPDU- und A-MSDU-Pakete erfassen
Mehrkanalerfassung
Empfang von intensivem Verkehr
CommView for WiFi im unsichtbaren Modus laufen lassen
Kommandozeilen Parameter
Datenaustausch mit Ihrer Anwendung
Maßgeschneidertes Decoding
CommView Logdateien Format
Information
Wie kann man CommView for WiFi kaufen
Kontaktieren Sie uns
Andere Produkte von TamoSoft

Regeln

CommView erlaubt Ihnen die Definition von zwei Regeltypen:

 

Der erste Typ Wireless-Regeln ermöglicht Pakete basierend auf dem Wireless-Pakettyp zu filtern: Daten-, Management- und Kontrollpakete. Um den Empfang dieses Pakettyps zu aktivieren/deaktivieren verwenden Sie im Programmmenü Regeln bzw. die entsprechenden Werkzeugleisten-Button. Ferner können Sie mit dem Menü Ignoriere Beacons den Empfang von Beakon-Paketen ein- bzw. abschalten.

 

Der zweite Typ Klassische Regeln ermöglicht Pakete nach vielen Kriterien zu filtern, wie der Portnummer oder der MAC- Adresse. Um diesen Regeltyp zu verwenden, gehen Sie im Hauptfenster in den Bereich Regeln. Sind hier Regeln gesetzt worden, filtert das Programm die Pakete danach und zeigt dann nur die regelkonformen Pakete an. Wenn eine Regel gewählt ist, wird die entsprechende Seite mit hervorgehobenem Font angezeigt.

 

Im Statusbalken des Programms wird die Anzahl der aktiven klassischen Regeln angezeigt. Bitte beachten Sie, dass dies nicht die Anzahl der aktiven WLAN-Regeln zeigt, da der Status der Werkzeugleiste (Ein/Aus) klar zeigt, ob eine solche Regel aktiv ist oder nicht. Wireless-Regeln werden vor allen anderen Dingen aktiv. Jedes erfasste Paket muss zuerst die Wireless-Regeln passieren bevor ein weiterer Prozess stattfindet. So wird z. B. kein Paket durch das Programm angezeigt, wenn keiner der drei Wireless-Werkzeugleisten-Buttons betätigt wurde.

 

Sie können mittels der Regeln im Programmmenü Ihre Regeleinstellungen in einer Datei speichern und später wieder laden.

 

Da WLAN-Verkehr oft eine große Zahl von Datenpaketen erzeugt, empfehlen wir die Verwendung von Regeln, um nicht benötigte Pakete auszuschließen. Dadurch werden die benötigten Systemressourcen gesenkt. Wenn Sie eine Regel aktivieren bzw. deaktivieren wollen, wählen Sie den entsprechenden Teil im linken Teil des Fensters (z. B. IP-Adressen oder Ports) und deaktivieren Sie die Checkbox, die zur Regel gehört (z. B. Aktiviere IP-Adressenregeln bzw. Aktiviere Portregeln).  Es gibt sieben Regeltypen:

 

 

Protokolle

 

Der Dialog ermöglicht das Ignorieren/Empfangen von Paketen basierend auf den Ethernet- und IP-Protokollen (Layer 2 und Layer 3).

 

etherules

 

Dieses Beispiel zeigt, wie man nur ICMP- und UDP-Pakete empfängt. Alle anderen Pakete der IP-Familie werden ignoriert.

 

MAC-Adressen

 

Der Dialog ermöglicht das Empfangen/Ignorieren von Paketen basierend auf MAC-Adressen (Hardware). Fügen Sie eine MAC-Adresse in das Eingabefeld Datensatz hinzufügen ein, wählen die Richtung (Nach, Von, oder Beides) und klicken auf [MAC-Adresse hinzufügen]. Die neue Regel wird angezeigt. Wählen Sie die durchzuführende Aktion, wenn ein Paket ankommt: Das Paket kann ignoriert oder erfasst werden. Sie können auch auf den Button MAC-Kennname klicken, um eine Liste der Kennnamen zu erhalten. Doppelklicken Sie auf einen Kennnamen, den Sie hinzufügen wollen. Die MAC-Adresse wird der Eingabeliste hinzugefügt.

 

macrules

 

Dieses Beispiel zeigt, wie man das Programm Pakete ignorieren läßt, die von 0A:DE:34:0F:23:3E kommen. Alle Pakete von anderen MAC-Adressen werden empfangen.

 

 

IP-Adressen

 

Mit diesem Dialog können Pakete basierend auf IP-Adressen ignoriert oder empfangen werden. Geben Sie einfach eine IP- oder IPv6-Adresse im Bereich Datensatz hinzufügen ein, wählen die Richtung (Nach, Von oder Beides) und klicken dann auf [IP-Adresse hinzufügen]. Sie können dabei für IP-Blöcke sogenannte Wildcards (Platzhalter) verwenden. Die neue Regel wird angezeigt. Wählen Sie die durchzuführende Aktion, wenn ein neues Paket verarbeitet wird: Das Paket kann ignoriert oder erfasst werden.  über den Button IP-Kennname können sie eine Liste von Kennnamen erhalten; Doppelklicken Sie auf den Kennnamen, den Sie hinzufügen wollen und die entsprechende IP-Adresse wird der Eingabeliste hinzugefügt.

 

iprules

 

In diesem Beispiel zeigen wir wie Sie die Pakete definieren können, die an 63.34.55.66 gehen bzw. von 207.25.16.11 und von allen Adressen im Bereich 194.154.0.0 und 194.154.255.255 kommen. Alle Pakete, die von anderen Adressen kommen, werden ignoriert. Da im IP-Protokoll IP-Adressen verwendet werden, würde eine solche Konfiguration alle Nicht-IP-Pakete automatisch ignorieren. Die Benutzung von IPv6-Adressen erfordert Windows XP oder höher und die IPv6-Stapelung muss installiert sein.

 

Ports

 

Der Dialog ermöglicht das Ignorieren oder Empfangen von Paketen über Ports. Fügen Sie einfach eine Portnummer in das Eingabefeld Datensatz hinzufügen ein, wählen dann die Richtung (Nach, Von oder Beides) und klicken [Port hinzufügen] an. Die neue Regel wird angezeigt. Wählen Sie die durchzuführende Aktion, wenn ein Paket ankommt: Das Paket kann ignoriert oder erfasst werden. Betätigen Sie den Button [Port Referenz] um eine Liste aller bekannten Ports zu erhalten. Doppelklicken Sie auf den Port, den Sie hinzufügen wollen und seine Portnummer wird der Eingabeliste hinzugefügt. Ports können als Text eingegeben werden, z. B. http oder pop3. Das Programm wird den Portnamen dann in einen numerischen Wert umwandeln.

 

portrules

 

In diesem Beispiel sehen Sie, wie Sie das Programm dazu bringen Pakete von Port 80 kommend bzw. zu Port 137 gehend zu ignorieren. Diese Regel verhindert, dass CommView eingehenden HTTP-Verkehr bzw. ein- und ausgehenden NETBIOS NAME Service-Verkehr anzeigt. Alle von oder zu anderen Ports gehende Pakete werden aber angezeigt.

 

 

TCP-Flags

 

Der Dialog ermöglicht das Ignorieren oder Empfangen von Paketen basierend auf TCP-Flags. Wählen Sie eine oder mehrere Checkboxen im Bereich Datensatz hinzufügen und klicken Sie dann auf [Flags hinzufügen]. Die neue Regel wird angezeigt. Wählen Sie die durchzuführende Aktion, wenn ein neues Paket mit vorgegebenem Flag ankommt: Das Paket kann ignoriert oder erfasst werden.

 

tcpflag

 

In diesem Beispiel sehen Sie, wie das Programm TCP-Pakete mit dem PSH ACK-Flag ignoriert. Alle Pakete mit anderen PCP-Flags werden empfangen.

 

 

Text

 

Der Dialog ermöglicht den Empfang von Paketen, die einen bestimmten Text enthalten. Fügen Sie den Text-String in das Eingabefeld Datensatz hinzufügen ein, wählen Sie den Informationstyp (Als String oder Als Hex) und klicken dann auf [Text hinzufügen].  Die neue Regel wird angezeigt. Sie können den Text als String, hexadezimal Wert eingeben. Einen Hexstring benötigen Sie für nichtdruckbare Zeichen: Geben Sie die hexadezimalen Werte wie unten gezeigt, durch Leerzeichen getrennt ein. Wählen Sie die durchzuführende Aktion, wenn ein Paket ankommt: Das Paket kann ignoriert oder erfasst werden.

 

text

 

In diesem Beispiel sehen Sie, wie man das Programm dazu bringt nur Pakete zu empfangen, die entweder "GET" oder "01 02 03 04" Hexadezimaldaten enthalten. Wählen Sie die Checkbox Gross-/Kleinschreibung unterscheiden wenn die Groß- und Kleinschreibung beachtet werden soll. Alle Pakete, die nicht den genannten Text enthalten werden nun ignoriert.

 

Für Fortgeschrittene

 

Erweiterte Regeln sind die mächtigsten und flexibelsten Regeln. Sie ermöglichen Ihnen komplexe Filter basierend auf Bool'scher Logik zu implementieren. Eine detaillierte Hilfe zu den erweiterten Regeln finden Sie im Kapitel Erweiterte Regeln.