Home
Contents

LAN Analyzer and Protocol Decoder - CommView
Prev Page Next Page
 
Einführung
Über CommView
Was ist neu
Programmbenutzung
Überblick
Netzwerkschnittstelle zur Paketerfassung auswählen
Aktuelle IP Verbindungen
Pakete
Protokollierung
Logbetrachter
Regeln
Erweiterte Regeln
Alarme
Rekonstruktion von TCP-Sitzungen
UDP-Ströme rekonstruieren
Pakete suchen
Statistiken und Berichte
Die Verwendung von Kennnamen
Paketgenerator
Optischer Paketersteller
NIC Vendor (Hersteller) Identifier (Identifiziertool)
Scheduler
Der Einsatz des Remote Agent
RPCAP anwenden
Entschlüsselten SSL-Datenverkehr erfassen
Loopback Datentransfer erfassen
Port Referenz
Einstellungen
Häufig gestellte Fragen
VoIP-Analyse
Einleitung
Arbeiten mit dem VoIP-Analyser
SIP- und H.323-Sitzungen
RTP-Ströme
Registrierungen
Endpunkte
Fehler
Anrufprotokoll
Berichte
Anrufswiedergabe
VoIP-Protokollbetrachter
Arbeiten mit Auflistungen im VoIP-Analyser
NVF-Dateien
Weiterführende Themen
Erfassung von intensivem Verkehr
Arbeiten mit mehreren Instanzen
CommView im nichtsichtbaren Modus
Kommandozeilen Parameter
Datenaustausch mit Ihrer Anwendung
Maßgeschneidertes Decoding
CommView Logdateien Format
Information
Einkauf und Support

Entschlüsselten SSL-Datenverkehr erfassen

Neben physischen und virtuellen Netzwerkadaptern können Sie in CommView einen der "Entschlüsselten SSL"-Adapter zum Erfassen und Entschlüsseln des lokalen SSL-Verkehrs auswählen. Dies sind keine echten Adapter. Vielmehr werden sie der Einfachheit halber emuliert und als "Adapter" bezeichnet. Wenn Sie entschlüsselten lokalen SSL-Verkehr von diesen Adaptern erfassen, emuliert CommView TCP-Pakete mithilfe abgefangener SSL-Sitzungen. Infolgedessen können Sie mit diesen Paketen genauso arbeiten, wie Sie es normalerweise mit anderen Paketen von echten Adaptern tun würden.

Beachten Sie beim Arbeiten mit entschlüsseltem SSL-Verkehr Folgendes:

·Nur lokaler SSL-Verkehr kann entschlüsselt werden. Mit anderen Worten, CommView (oder eine andere Software) kann den verschlüsselten Datenverkehr anderer Computer nicht entschlüsseln. Wenn dies möglich wäre, hätten wir wahrscheinlich eine Auszeichnung in Höhe von mehreren Millionen Dollar für den größten Durchbruch in der Kryptografie erhalten.

·Es wird dringend empfohlen, dass Sie Ihre Browser schließen, bevor Sie mit der Erfassung des SSL-Datenverkehrs beginnen, und diese öffnen, nachdem Sie mit der Erfassung begonnen haben. Dies ist erforderlich, um sicherzustellen, dass die Browser ihre Liste vertrauenswürdiger Zertifikate aktualisieren können. CommView fügt sein Zertifikat dem vertrauenswürdigen Speicher hinzu und ermöglicht damit das Abfangen und Entschlüsseln von SSL-Verkehr.

·Wir können nicht garantieren, dass CommView jede SSL-Sitzung entschlüsseln kann, die von Ihrem Computer stammt. Einige Anwendungen verwenden stark angepasste Komponenten für die SSL-Verschlüsselung. Wir haben jedoch sichergestellt, dass alle modernen gängigen Browser unterstützt werden.

·Sobald Sie mit der Erfassung begonnen haben, beschweren sich einige Anwendungen möglicherweise über ein "unbekanntes" oder "nicht vertrauenswürdiges" SSL-Zertifikat. Dies ist normal, da CommView als Vermittler zwischen der auf Ihrem Computer ausgeführten Software und dem Server fungiert, mit dem es verbunden ist. Dies beinhaltet das vorübergehende Ersetzen des Serverzertifikats durch das CommView-eigene Zertifikat (nur wenn CommView Daten erfasst). Wenn eine solche Meldung "Unbekanntes Zertifikat" angezeigt wird, starten Sie die betreffende Anwendung einfach neu. Dies sollte das Problem in den meisten Fällen lösen. Wenn dies nicht hilft, können Sie das CommView-Zertifikat zum vertrauenswürdigen Zertifikatspeicher der Anwendung hinzufügen, falls vorhanden. Das Zertifikat finden Sie unter C:\Programme (x86)\CommView\certs\SSL\CommView CA 2.cer (für 64-Bit-Windows) oder C:\Programme\CommView\certs\SSL\CommView CA 2. cer (für 32-Bit-Windows). Wenn dies auch nicht hilft, können wir leider nichts tun.

·Die TCP-/IP-Pakete, die Sie in diesem Erfassungsmodus sehen, werden emuliert. Dies bedeutet, dass sie über künstliche Ethernet-, IP- und TCP-Header verfügen. Solche Pakete haben spezifische Quell- und Ziel-MAC-Adressen: 00: 00: 00: 00: 10 und 00: 00: 00: 00: 20 für eingehende Pakete und umgekehrt für ausgehende Pakete. Sie haben auch emulierte SEQ- und ACK-Werte.

·Da Pakete emuliert werden, zeigen sie möglicherweise nicht vollständig die Struktur der realen SSL-Sitzung. Beispielsweise kann eine an Ihren Browser gesendete SSL-verschlüsselte Webseite mit einer Länge von 10.000 Byte in der Realität mit 7 oder 8 verschlüsselten TCP-Paketen übertragen werden. In CommView wird die gesamte Seite jedoch möglicherweise als ein einziges TCP- Paket mit einer Länge von 10.000 Byte dargestellt, das entschlüsselte Daten enthält. Ebenso werden SSL-Sitzungshandshakes nicht angezeigt, da sie keine nutzbare Nutzlast enthalten.

Es stehen drei Arten von entschlüsselten SSL-emulierten Adaptern zur Auswahl:

1.Local SSL (Decrypted)

2.Local SSL (Decrypted) + HTTP

3.Local SSL (Decrypted) + TCP

Die erste Art erfasst nur SSL-Sitzungen. Die zweite Art erfasst SSL-Sitzungen und HTTP-Sitzungen (unverschlüsselt). Die dritte Art erfasst SSL-Sitzungen und alle anderen TCP-Sitzungen. Bitte beachten Sie, dass in allen drei Modi emulierte TCP-Sitzungen mit den oben beschriebenen Besonderheiten vorhanden sind. Wenn Sie ursprüngliche, unveränderte Pakete sehen möchten, die von Ihrem Netzwerkadapter gesendet / empfangen wurden, wählen Sie diesen Adapter anstelle einen der emulierten Adapter in CommView aus.