Home
Contents

LAN Analyzer and Protocol Decoder - CommView
Prev Page Next Page
 
Einführung
Über CommView
Was ist neu
Programmbenutzung
Überblick
Netzwerkschnittstelle zur Paketerfassung auswählen
Aktuelle IP Verbindungen
Pakete
Protokollierung
Logbetrachter
Regeln
Erweiterte Regeln
Alarme
Rekonstruktion von TCP-Sitzungen
UDP-Ströme rekonstruieren
Pakete suchen
Statistiken und Berichte
Die Verwendung von Kennnamen
Paketgenerator
Optischer Paketersteller
NIC Vendor (Hersteller) Identifier (Identifiziertool)
Scheduler
Der Einsatz des Remote Agent
RPCAP anwenden
Entschlüsselten SSL-Datenverkehr erfassen
Loopback Datentransfer erfassen
Port Referenz
Einstellungen
Häufig gestellte Fragen
VoIP-Analyse
Einleitung
Arbeiten mit dem VoIP-Analyser
SIP- und H.323-Sitzungen
RTP-Ströme
Registrierungen
Endpunkte
Fehler
Anrufprotokoll
Berichte
Anrufswiedergabe
VoIP-Protokollbetrachter
Arbeiten mit Auflistungen im VoIP-Analyser
NVF-Dateien
Weiterführende Themen
Erfassung von intensivem Verkehr
Arbeiten mit mehreren Instanzen
CommView im nichtsichtbaren Modus
Kommandozeilen Parameter
Datenaustausch mit Ihrer Anwendung
Maßgeschneidertes Decoding
CommView Logdateien Format
Information
Einkauf und Support

Einstellungen

Sie können einige Programmeinstellungen im Menü Einstellungen konfigurieren.

Allgemein

Autostart-Paketerfassung – Aktivieren Sie diese Checkbox, wenn CommView sofort nach dem Programmstart mit dem Empfang von Paketen beginnen soll. Wenn Sie mehrere Netzwerkadapter in Ihrem Computer haben, sollten Sie aus der Drop-Down-Liste einen entsprechenden Adapter auswählen.

Netzwerk

Keine DNS/Auflösung – Mit dieser Checkbox verhindern Sie, dass CommView "reverse DNS lookups" der IP-Adressen durchführt. Wenn die Checkbox aktiviert ist bleibt die Spalte Hostname im Register Letzte IP Verbindungen leer.

Portnummern in Servicenamen konvertieren – Aktivieren Sie diese Checkbox, wenn CommView Servicenamen statt Nummern anzeigen soll. Wenn die Checkbox aktiviert ist, wird z. B. Port 21 als ftp und Port 23 als telnet angezeigt. Über die von Windows installierte SERVICES-Datei wandelt das Programm die numerischen Werte in Servicenamen um. Sie finden die Datei im Verzeichnis \system32\drivers\etc. Sie können diese Datei manuell editieren, wenn sie mehr Portnummern/Services hinzufügen möchten.

MAC-Adressen in Kennnamen konvertieren – Wandelt im Register Pakete MAC/Adressen in Kennnamen um. Kennnamen können über das Menü Einstellungen => MAC Kennnamen MAC-Adressen zugeordnet werden.

IP-Adressen in Kennnamen konvertieren – Wandelt in den Registern Pakete und Statistiken IP-Adressen in Kennnamen um. Kennnamen önnen über das Menü Einstellungen => IP Kennname IP-Adressen zugeordnet werden.

IP-Adressen im Register Pakete in Hostnamen konvertieren – Wählen Sie diese Checkbox, wenn CommView aufgelöste Hostnamen statt IP-Adressen im Register Pakete anzeigen soll. Wenn diese Checkbox aktiv ist, versucht CommView zuerst einen Kennnamen für die genannte IP-Adresse zu finden. Wenn kein Kennname gefunden wird oder die vorhergehende Checkbox IP-Adressen in Kennnamen konvertieren nicht aktiviert wurde, wird CommView den internen DNS-Cache nach einem Hostnamen absuchen. Wenn kein Hostname gefunden wird, wird die IP-Adresse in numerischer Form dargestellt.

Herstellernamen in MAC-Adressen anzeigen – CommView ersetzt standardmäßig im Register Pakete die ersten drei Oktets der MAC-Adresse durch den Adapterherstellernamen. Wenn Sie dies nicht wünschen müssen Sie die Checkbox deaktivieren.

Kein Promiscuous Modus – grundsätzlich versetzt CommView die Netzwerkkarte in den sogenannten Promiscuous-Modus, was zur Folge hat, dass der gesamte Paketverkehr des lokalen LAN-Segmentes von der Netzwerkkarte erfasst wird. Durch das Setzen diese Checkbox wird das Umschalten in den Promiscuous-Modus unterlassen, wodurch die Netzwerkkarte in ihrem normalen Betriebsmodus belassen wird. Dies kann z. B. von Nutzen sein, wenn die IT-Vorschriften der Firma den Einsatz von Netzwerkmonitoren im Promiscuous-Modus nicht erlauben, Sie die CPU-Ressourcen nicht zu stark belasten wollen oder Sie nur am ein- und ausgehenden Paketverkehr Ihres PC’s interessiert sind und nicht den durchgehenden Paketverkehr herausfiltern wollen.

Benachrichtigen bei Veränderung der Adapterliste – verändert sich die Liste der aktiven Adapter, wird bei gesetzter Checkbox im Systemleistenbereich eine Nachricht eingeblendet.

Prozesspfad in voller Länge anzeigen – Aktivieren Sie diese Checkbox wenn der Pfad des lokalen Prozesses der die Pakete der im Register Letzte IP-Verbindungen gezeigten Verbindung sendet/empfängt in voller Länge angezeigt werden soll. Dies gilt auch für die Baumansicht der decodierten Pakete im Register Pakete (z.B. C:\Files\Program.exe ist der Pfad in voller Länge, wogegen Program.exe nur die ausführbare Datei benennt).

Freundliche Adapternamen anzeigen – aktivieren Sie diese Checkbox wenn für die Anzeige der Adapter in der Drop-Down-Liste die Namen aus der Windows-Seite der Netzwerkverbindungen verwendet werden sollen.

Rasterlinien einblenden – Blendet in allen Paketlisten Rasterlinien ein.

Speicherauslastung

Anzeige

Maximale Anzahl Pakete im Puffer – Definiert die maximale Anzahl von Paketen, die das Programm im Speicher haben kann und zeigt die Paketliste (Zweites Register). Sie können z. B. den Wert auf 3000 setzen. Dann werden nur die letzten 3000 Pakete im Speicher bzw. in der Paketliste berücksichtigt. Je höher dieser Wert ist, desto mehr Computerressourcen benötigt das Programm.

Beachten Sie, wenn Sie Zugang zu sehr vielen Paketen benötigen, dass Sie die Autospeicherungsfunktion nutzen (mehr dazu unter Protokollierung). Damit können Sie alle Pakete in einer Logdatei auf der Festplatte ablegen.

Maximale Anzahl Zeilen der aktuellen IP-Verbindungen – Legt die Anzahl der Zeilen zur Anzeige der aktuellen IP- Verdingungen fest. Wenn die Anzahl der Verbindungen den Schwellenwert überschreitet, werden die Verbindungen die am längsten nicht aktiv waren aus der Liste entfernt.

Treiber-Puffer – definiert die Treiberpuffergrösse. Diese Einstellung beeinflusst die Performance des Programms. Je mehr Speicher für den Treiberpuffer reserviert ist, desto weniger Pakete verliert das Programm. Für LAN’s mit geringem Verkehr und Wählverbindungen ist die Puffergröße nicht wichtig. Für LAN’s mit hohem Verkehr sollten Sie jedoch die Puffergröße erhöhen, wenn das Programm zu viele Pakete verliert. Die Anzahl der verlorenen Pakete ermitteln Sie mittels Datei => Durchsatzdaten wenn die Paketerfassung aktiviert ist.

Aktuelle IP-Verbindungen

Logik anzeigen – Ermöglicht die Auswahl des Layouts der aktuellen IP-Verbindungen an Ihre Bedürfnisse anzupassen. Mit der Auswahl eines Objektes aus der Dropdown-Liste wird die ausgewählte Logik angezeigt. Meistens empfiehlt sich die Verwendung der standardmäßigen Smart-Logik.

Lokale IP-Adressen definieren – Dieses Tool sollten Sie verwenden, wenn Sie LAN-Verkehr beobachten, der viele Pass-through-Pakete und eine Mischung aus internen und externen IP-Adressen enthält. In solch einer Situation weiß CommView nicht, welche IP-Adressen als lokale Adressen definiert werden sollen und könnte dann die IP-Adressen in den Lokal- und Remote- IP-Spalten vertauschen. Mit diesem Werkzeug definieren Sie die lokalen Netzwerkadressen und Subnet-Masken, um sicher zu sein, dass die aktuellen IP-Verbindungen richtig angezeigt werden. Dies funktioniert jedoch nur mit der standardmäßigen Smart-Logik.

Prozessnamen um PID-Nummer erweitern – aktivieren Sie diese Checkbox, wenn in der Prozessspalte die sogenannte Proszess-ID direkt neben dem Prozessnamen angezeigt werden soll.

Farben

Paketfarbe – definiert die Farbe der Pakete im Register Pakete in Abhängigkeit ihrer Richtung (ausgehend, ankommend oder durchgehen). Um die Farbe zu ändern wählen Sie eine Richtung aus der Drop-Down-Liste und klicken Sie auf die Farbe Ihrer Wahl.

Paket-Header einfärben - Aktivieren Sie diese Checkbox, wenn CommView Paketinhalte einfärben soll. Wenn diese Checkbox aktiv ist, zeigt das Programm die ersten acht Paketschichten mit verschiedenen Farben an. Zum Ändern einer Farbe wählen Sie die zu ändernde Header-Art und klicken dann auf das farbige Rechteck.

Formelsyntax hervorheben – Definiert die Farben zum Hervorheben der Schlüsselwörter in den Formeln für die Erweiterte Regeln.

Ausgewählte Bytesequenzfarbe – Definiert den Font und die Hintergrundfarbe für die Darstellung der Bytesequenz, die im Decoderbaum gewählt wurde. Wählen Sie z. B. den TCP-Baumknoten, werden die entsprechenden Teile des Pakets mit diesen Farben hervorgehoben.

Dekodierung

Inhalt aller Knoten im Decoderfenster anzeigen – Aktivieren sie diese Checkbox, um alle Knoten im Decoderfenster automatisch geöffnet darzustellen wenn Sie ein neues Paket in der Paketliste wählen.

Letzten Knoten ausklappen - Aktivieren Sie diese Checkbox, wenn Sie möchten, dass der letzte Knoten im Dekoderfenster automatisch ausgeklappt wird, wenn Sie ein Paket in der Paketliste auswählen. Standardmäßig wird der erste Knoten ausgeklappt. Diese Einstellung ist wirkungslos, wenn die Checkbox Immer alle Knoten ausklappen im Dekoderfenster aktiviert ist.

Ebene ausklappen – Bestimmen Sie die Anzahl der Ebenen, die Sie ausklappen möchten.

Für ASCII-Export nur bis zur ersten Ebene decodieren – Diese Option beeinflusst das Decodierformat für den Export eines Paketlogs bzw. eines individuellen Paketes als ASCII-Datei mit Decodierung. Wenn diese Checkbox aktiv ist, werden nur die Toplevel-Knoten abgespeichert. Wenn Sie z. B. ein TCP/IP-Paket speichern möchten, während diese Funktion deaktiviert ist, werden alle Arten von Service-Sub-Knoten auch gespeichert. Wenn die Option aktiv ist, werden die Sub-Knoten nicht mitgespeichert. Damit wird die Ausgabe der ASCII-Dateien weniger detailliert und kompakter.

Falsche Prüfsummen für die TCP-Sitzungsrekonstruktion ignorieren – Hiermit beeinflussen Sie, wie CommView mit schadhaften TCP/IP-Paketen umgeht, wenn das Programm TCP-Sitzungen rekonstruiert. Diese Option ist per Default aktiviert d.h. auch Pakete mit falscher Prüfsumme werden in der Rekonstruktion berücksichtigt und angezeigt. Schalten Sie die Option aus wenn Sie wollen das Pakete mit falscher Prüfsumme in der Rekonstruktion nicht berücksichtigt werden. Achtung Gigabit Kartenbenutzer: Alle ausgehenden Pakete haben eine falsche Prüfsumme, wenn die Option Checksum Offload aktiv ist! Sie sehen dann in der Rekonstruktion nur einen Teil der beteiligten Pakete. Das gilt auch für die Rekonstruktion von Loopback-Verbindungen, da Loopback-Pakete Null-Checksummen haben.

Paketnummern einbinden bei TCP-Sitzungsrekonstruktion - Aktivieren Sie diese Checkbox, wenn Sie möchten, dass die Dateneinheiten im TCP-Sitzungsrekonstruktionsfenster mit zugehörigen, vorangestellten Paketnummern dargestellt werden.

Bei TCP-Sitzungsrekonstruktion nach dem Sitzungsstart suchen - Wenn diese Checkbox angekreuzt ist, wird das Programm versuchen, den Beginn der TCP-Sitzung zu finden, wenn Sie die Sitzung rekonstruieren. Ist die Checkbox nicht aktiviert, wird die Sitzung von dem gewählten Paket ausgehend rekonstruiert, d.h. früher Pakete werden verworfen.

GZIP-Inhalt entpacken – Aktivieren Sie diese Checkbox damit CommView GZIP-komprimierten HTTP-Inhalt in lesbaren Text innerhalb des TCP-Sitzungsrekonstruktionsfenster darstellt. GZIP-Inhalt wird nur dekomprimiert, wenn der Anzeigetyp im Fenster auf ASCII gesetzt ist.

Bilder rekonstruieren – Aktivieren Sie diese Checkbox, wenn CommView binäre HTTP-Streams, die Bilder darstellen, in betrachtungsfähige JPG-, BMP-, PNG- und GIF-Bilder im TCP-Sitzungsrekonstruktionsfenster verwandeln soll. Bilder werden nur angezeigt, wenn der Anzeigetyp im Fenster auf HTML gesetzt ist. Bilder werden nie innerhalb der HTML-Seite angezeigt zu der sie gehören, sie werden durch den Server über eine separate HTTP-Sitzung transportiert.

IPv4-Formendungen in IPv6-Adressen verwenden - Wenn diese Checkbox nicht angekreuzt ist, werden IPv6-Adressen nur in hexadezimaler Schreibweise dargestellt, z.B. fe80::02c0:26ff:fe2d:edb5. Ist die Checkbox angekreuzt, werden die letzten 4 Byte der IPv6-Adressen in der IPv4-Darstellungsart angezeigt, z.B. fe80::02c0:26ff:254.45.237.181.

Fragmentierte IP-Paket wieder zusammensetzen - Kreuzen Sie diese Checkbox an, wenn das Programm fragmentierte IP-Pakets wieder zusammensetzen soll. Standardmäßig werden fragmentierte IP-Pakete angezeigt, wie Sie empfangen wurden, in ihrer Originalform. Ist diese Option eingeschaltet, wird das Programm einen internen Fragmentpuffer erhalten und versuchen, die Fragmente zusammenzufügen. Dabei werden nur erfolgreich zusammengesetzte Fragmente als Ergebnis angezeigt.

Versuche eingehende UDP-Pakete Arbeitsabläufen zuzuordnen - Standardmäßig versucht das Paket-zu-Applikation-Zuordnungssystem des Programms keine eingehenden UPD-Pakete in einem eigenen Arbeitsablauf zuzuordnen, infolge der wahrscheinlichkeitstheoretischen Beschaffenheit solcher Zuordnungen. Kreuzen Sie die Checkbox an, wenn Sie möchten, dass das Programm versucht diese Pakete zuzuordnen.

Standard Anzeigetyp – Wählen Sie aus der Dropdown-Liste den Anzeigetyp, den Sie als Standard für die TCP-Sitzungsrekonstruktion setzen wollen. Erlaubte Werte sind ASCII, HEX, HTML und EBCDIC.

VoIP

HINWEIS: Das VoIP-Analysemodul ist nur für VoIP-Lizenz- oder Testversionsbenutzer verfügbar, die den VoIP-Testmodus gewählt haben.

VoIP-Analyse deaktivieren – Deaktivierung der Erfassung und Analyse von VoIP-Daten. Aktivieren Sie diese Checkbox wenn Sie nicht mit VoIP arbeiten und wenn Sie die Benutzung der Computerressourcen duch die Applikation minimieren möchten.

Maximale Aufzeichnungen in der Liste – Begrenzt die Anzahl der angezeigten und verarbeiteten VoIP-Vorgänge. Wenn die Anzahl der Aufzeichnungen die festgelegte Begrenzung übersteigt, werden ältere Aufzeichnungen aus der Liste gelöscht.

Verwaiste RTP-Ströme ignorieren – Wenn diese Checkbox aktiviert ist, ignoriert der VoIP-Analyser RTP-Datenströme die keine Ausgangssignalsitzung haben. Verwaiste RTP-Ströme entstehen typischerweise wenn die Paketerfassung in der Mitte eines Telefonates gestartet wird oder das Signalprotokoll der Applikation unbekannt ist (z.B. kein SIP oder H.323) oder das Signalprotokoll wurde in einer nichtstandardisierten Art und Weise gesendet (z.B. verschlüsselt oder als Teil einiger anderer Sitzungen). Solche Ströme sind immer noch zur Analyse verfügbar und manchmal zur Wiedergabe. Schauen Sie bitte in das Kapitel Telefonate wiedergeben um detaillierte Informationen über die Wiedergabe von Telefonaten zu erhalten. Deaktivieren Sie diese Option, wenn Sie kein Interesse an solchen verwaisten Strömen haben und Computerressourcen sparen möchten. Beachten Sie, wenn verwaiste Ströme nicht ignoriert werden kann der VoIP-Analyser über das UDP-Protokoll übertragene Ströme irrtümlicherweise als RTP-Ströme identifizieren. Allgemein ist dies kein Fehler, weil RTP-Pakete keine standardisierte einheitliche Signatur besitzen, deshalb sind solche "Falschpositiven Ergebnisse" in Ordnung.

Geo-Standort

Geo-Standort ist die Länderzuordnung für IP-Adressen. Wenn diese Funktionalität aktiviert ist, überprüft CommView die interne Datenbank um die zugehörigen Ländernformationen für jede IP-Adresse. Sie können das Programm so konfigurieren, dass es den ISO-Ländercode, den Landesnamen oder die Landesflagge für jede IP-Adresse anzeigt. Sie können Geo-Standort auch deaktivieren. Für einige reservierte IP-Adressen (z. B. 192.168.*.* oder 10.*.*.*) kann keine Länderinforrmation zugeteilt werden. In solchen Fällen wird der Landesname nicht angezeigt, oder falls Sie die Option Landesflagge benutzen, wird eine Flagge mit einem Fragezeichen angezeigt. In solchen Fällen wird der Landesname nicht angezeigt, oder falls Sie die Option Landesflagge benutzen, wird eine Flagge mit einem Fragezeichen angezeigt.

Wenn die IP-Zuweisung ständig wechselt, ist es wichtig, dass Sie immer eine aktuelle Version von CommView benutzen. Eine frische aktuelle Datenbank ist in jeder Ausgabe von CommView. Eine frische Datenbank hat eine 98%ige Treffgenauigkeit. Ohne Updates fällt die Treffgenauigkeit jedes Jahr prozentual um ca. 15%.

Verschiedenes

Bei minimierter Darstellung nicht in der Taskleiste anzeigen – Aktiveren Sie diese Checkbox, wenn beim Minimieren des Fensters der Button nicht in der Taskleiste angezeigt werden soll. Wenn diese Checkbox aktiv ist wird das Programm nach der Minimierung über ein System Tray-Icon erneut geöffnet.

Mehrere Instanzen dieser Applikation zulassen – Wenn diese Checkbox aktiviert ist, dann können Sie mehrere Instanzen von CommView auf demselben PC laufen lassen. Sie können dann den Paketverkehr von mehreren Netzwerkadaptern gleichzeitig erfassen. Diese Option steht Ihnen unter Windows 95 nicht zur Verfügung.

Verlassen der Applikation bestätigen – Aktivieren Sie diese Checkbox, wenn Sie die Programmbeendigung bestätigen möchten.

Auto-Scrollen im Register Pakete – Wenn diese Checkbox aktiv ist, scrollt das Programm den Text im Register Pakete automatisch, wenn Sie ein neues Paket aus der Paketliste auswählen (nur wenn der Text nicht in das Fenster passt). Dies ist nützlich, wenn sie bei einem großen Paket die Inhalte ansehen wollen ohne manuell scrollen zu müssen.

Auto-Scrollen zum letzten Paket in Paketliste – Wenn diese Checkbox aktiv ist, scrollt das Programm automatisch im Register Pakete die Paketliste durch bis zum letzten erhaltenen Paket.

Sortieren neuester Datensätze der aktuellen IP-Verbindungen – Wenn diese Checkbox aktiv ist, sortiert das Programm automatisch die neuen Einträge im Register Aktuelle IP-Verbindungen nach einem benutzerdefinierten Kriterium (z. B. aufsteigende Reihenfolge der Remote-IP-Adressen).

Smart CPU-Control verwenden – Wenn diese Checkbox aktiv ist versucht das Programm durch Senkung der Qualität und Frequenz der Bildschirm-Updates die CPU-Last beim Empfangen von sehr starkem Verkehr zu senken.

Mit Windows starten – Wenn diese Checkbox aktiv ist, startet das Programm jedesmal automatisch, wenn Windows gestartet wird. Unter Windows Vista und höher, ist diese Checkbox wirkungslos, wenn UAC aktiviert ist. Dies ist eine Einschränkung von Vista und den letzten Windows-Versionen, die verhindern, dass Applikationen mit höheren Rechten beim Windowsstart geladen werden. Wenn diese Funktionalität wichtig ist, deaktivieren Sie UAC.

Minimiert starten – Wenn diese Checkbox aktiv ist, wird das Programm minimiert gestartet und das Hauptfenster nicht angezeigt bis Sie das System Tray-Icon oder den Taskleisten-Button gedrückt haben.

Automatische Applikations-Updates aktivieren – Mit dieser Checkbox lassen Sie das Programm sich regelmäßig mit der TamoSoft-Website verbinden und nach Updates suchen. Mit dem Eingabefeld Intervall zwischen den Checks definieren Sie in welchen Abständen diese Überprüfung durchgeführt werden soll.

Plug-Ins

Dieser Bereich wird für Plug-Ins von Drittherstellern benötigt um Konfigurationsaufgaben zu ermöglichen. Mehr dazu unter Maßgeschneidertes Decoding.