Home
Contents

LAN Analyzer and Protocol Decoder - CommView
Prev Page Next Page
 
Einführung
Über CommView
Was ist neu
Programmbenutzung
Überblick
Netzwerkschnittstelle zur Paketerfassung auswählen
Aktuelle IP Verbindungen
Pakete
Protokollierung
Logbetrachter
Regeln
Erweiterte Regeln
Alarme
Rekonstruktion von TCP-Sitzungen
UDP-Ströme rekonstruieren
Pakete suchen
Statistiken und Berichte
Die Verwendung von Kennnamen
Paketgenerator
Optischer Paketersteller
NIC Vendor (Hersteller) Identifier (Identifiziertool)
Scheduler
Der Einsatz des Remote Agent
RPCAP anwenden
Entschlüsselten SSL-Datenverkehr erfassen
Loopback Datentransfer erfassen
Port Referenz
Einstellungen
Häufig gestellte Fragen
VoIP-Analyse
Einleitung
Arbeiten mit dem VoIP-Analyser
SIP- und H.323-Sitzungen
RTP-Ströme
Registrierungen
Endpunkte
Fehler
Anrufprotokoll
Berichte
Anrufswiedergabe
VoIP-Protokollbetrachter
Arbeiten mit Auflistungen im VoIP-Analyser
NVF-Dateien
Weiterführende Themen
Erfassung von intensivem Verkehr
Arbeiten mit mehreren Instanzen
CommView im nichtsichtbaren Modus
Kommandozeilen Parameter
Datenaustausch mit Ihrer Anwendung
Maßgeschneidertes Decoding
CommView Logdateien Format
Information
Einkauf und Support

Rekonstruktion von TCP-Sitzungen

Mit diesem Dialog können Sie sich die TCP-Kommunikation zwischen zwei Host’s ansehen. Um eine TCP-Sitzung zu rekonstruieren, wählen Sie als erstes ein TCP-Paket im Register Pakete. Abhängig von den Einstellungen (Checkbox: Suche den Sitzungstart wenn TCP-Sitzungsrekonstruktion startet in Einstellungen => Optionen => Dekodierung), wird die Sitzung von dem ausgewählten Paket ausgehend (kann ein Paket aus der Sitzungsmitte oder vom Sitzungsstart sein) rekonstruiert. Nach dem Sie das Paket gefunden und ausgewählt haben, führen Sie einen Rechtsklick darauf aus und wählen TCP-Sitzung rekonstruieren wie unten gezeigt:

tcpsessions

Rekonstruktionssitzungen funktionieren am besten mit textbasierten Protokollen, wie POP3, Telnet oder HTTP. Natürlich können Sie den Download einer großen Zip-Datei rekonstruieren, aber es kann sein, dass CommView für die Rekonstruktion von mehreren Megabytes sehr lange braucht, und meist ist dann auch die erhaltene Information sinnlos. Das Register Inhalt zeigt die aktuellen Sitzungsdaten an, während das Register Sitzungsanalyse den Fluss der rekonstruierten TCP-Sitzungen graphisch darstellt.

Eine Beispiel-HTTP-Session mit HTML-Daten, die im ASCII- und HTML-Modus angezeigt werden, ist im Folgenden dargestellt:

tcpsessions

tcpsessions

Im HTML-Anzeigemodus werden in den HTML-Seiten niemals Bilder angezeigt, da im HTTP-Protokoll Bilder separiert vom Text übertragen werden. Um diese Bilder zu sehen, müssen Sie zur nächsten TCP-Sitzung navigieren. Im Folgenden finden Sie ein Beispiel für eine HTTP-Sitzung, die Bilder enthält und im HTML-Modus angezeigt wird:

tcpsessions

Standardmässig versucht CommView GZIP-ten Webinhalt zu dekomprimieren und Bilder aus dem Binärstrom zu rekonstruieren. Diese Funktion kann im Dialog Einstellungen mittels des Bereichs Decodierung abgeschaltet werden.

Wenn Sie im unteren Bereich eine der Checkboxen deaktivieren, können Sie Daten, die aus einer bestimmten Richtung kommen ausfiltern. Ein- und ausgehende Daten haben, um markanter zu sein, verschiedene Farben. Diese Farben können Sie mittels Einstellungen => Farben ändern. Wort-Wrapping kann mittels Einstellungen => Word Wrap aktiviert/deaktiviert werden.

Mittels der Dropdown-Liste Anzeigetyp können Sie die Daten in folgenden Formaten ansehen: ASCII- (Klartext), HEX- (hexadezimal), HTML- (Webseiten und Bilder), EBCDIC-Format (IBM mainframes' data encoding) und UTF-8 (Unicode-Daten). Bitte beachten Sie, dass die Ansicht der Daten im HTML- Format nicht automatisch dieselben Ergebnisse bringt, wie mit dem Webbrowser (Sie sehen dann keine Inlinegrafik), dennoch erhalten Sie eine ungefähre Vorstellung, wie die Seite im Original aussah.

Im Dialog Einstellungen können Sie unter Decodierung festlegen, wie der Standardanzeigetyp für die Rekonstruktion von TCP-Sitzungen aussieht.

Mit den Navigation-Buttons können Sie den Puffer nach der nächsten oder letzten TCP-Sitzung absuchen. Der erste Vorwärts-Button [>>] sucht nach der nächsten Sitzung zwischen den beiden Hosts, die an der ersten Rekonstruktionssitzung beteiligt waren. Der zweite Vorwärts-Button [>>>] sucht nach der nächsten Sitzung zwischen zwei beliebigen Hosts. Wenn Sie mehrere TCP-Sitzungen zwischen den zwei Hosts im Puffer haben und alle nacheinander ansehen wollen, empfehlen wir mit der Rekonstruktion der ersten Sitzung anzufangen, da der Rückwärtsbutton [<<] nicht weiter zurück als bis zur zuerstrekonstruierten TCP-Sitzung gehen kann.

Die so erhaltenen Daten können als Binärdaten, HTML-, Text- oder Rich-Textdatei durch Klicken auf Datei => Speichern unter… gesichert werden. Wenn Sie in ein Textformat speichern, ist die Ergebnisdatei eine Unicode UTF-16-Datei. Wird ins HTML-Format gespeichert, ist die Verschlüsselung der Ergebnisdatei vom aktuell gewählten Anzeigetyp abhängig. Wenn HTML aktuell gewählt ist, wird die Ergebnisdatei eine ANSI-Textdatei, für alle anderen Anzeigetypen ist die Ergebnisdatei eine Unicode UTF-16-Datei. Beachten Sie, wenn Sie eine HTTP-Sitzung mit Bildern speichern, werden die Bilder in das temporäre Verzeichnis auf Ihrer Festplatte gespeichjert, falls Sie die Bilder behalten möchten, öffnen Sie die gespeicherte Datei in Ihrem Browser und speichern die Datei in einem Format, dass Bilder beinhaltet, z.B. MHT, .bevor Sie CommView schließen.

Sie können durch Klicken auf Bearbeiten => Finden… nach einer Zeichenkette in der Sitzung suchen.

Sitzungsanalyse

Das Register Sitzungsanalyse des TCP-Sitzungsfensters stellt rekonstruierte TCP-Sitzungen grafisch dar. Sie können den Sitzungsdatenfluss, Fehler, Verzögerungen und verlorene erneut übertragene Daten sehen.

Die folgenden Daten werden für jedes Sitzungspaket angezeigt:

·TCP-Flags.

·Absolute und relative SEQ- und ACK-Werte.

·Paketankunftszeit.

·Zeitdifferenz zwischen dem aktuellen und dem vorhergehenden Paket.

·Paketnummer in der rekonstruierten Sitzung.

Wenn ein Paket Fehler beinhaltet, wird die Eigenschaft des Fehlers erklärt. Es erscheint ein Beschreibungstext am rechten Rand des Diagramms. Wenn Sie die Maus über ein Paket mit Dateninhalt bewegen, wird der Dateninhalt in einem Hinweisfenster angezeigt. Beachten Sie, dass das Feld Anzeigetyp bestimmt, wie die Daten im Anzeigefenster decodiert werden. Ein Beispiel für ein Sitzungsanalysefenster wird unten gezeigt:

tcpsessions

Der rechte Ausschnitt zeigt einige Basisstatistiken für die vorgegebene Sitzung:

Verbindungszeit – Die benötigte Zeit zur Herstellung der TCP-Verbindung. In anderen Worten, es ist die Dreiweg-TCP-Handshake-Zeit (SYN => SYN ACK => ACK).

Server-Antwortzeit – Die verstrichene Zeit zwischen der Klientenanfangsanfrage und der ersten Datenantwort des Servers.

Datenübertragungszeit – Die Zeit zwischen der ersten und der letzten Datenantwort des Server's (0 bei nur einer Server-Antwort).

Sie können das grafische Schaubild der rekonstruierten TCP-Sitzung als BMP-, GIF- oder PNG-Datei durch Rechtsklick auf das Schaubild und Auswahl des Kontextmenüpunktes Bild speichern als… speichern. Sitzungen mit einer großen Paketanzahl werden in mehrere Dateien aufgeteilt.