Mit diesem
Dialog können Sie sich die TCP-Kommunikation zwischen zwei Host’s
ansehen. Um eine TCP-Sitzung zu rekonstruieren, wählen Sie als
erstes ein TCP-Paket im Register Pakete.
Abhängig von den Einstellungen (Checkbox: Suche
den Sitzungstart wenn TCP-Sitzungsrekonstruktion startet
in
Einstellungen
=> Optionen => Dekodierung), wird die Sitzung von
dem ausgewählten Paket ausgehend (kann ein Paket aus der
Sitzungsmitte oder vom Sitzungsstart sein) rekonstruiert. Nach dem
Sie das Paket gefunden und ausgewählt haben, führen Sie einen
Rechtsklick darauf aus und wählen TCP-Sitzung
rekonstruieren wie unten
gezeigt:
Rekonstruktionssitzungen
funktionieren am besten mit textbasierten Protokollen, wie POP3,
Telnet oder HTTP. Natürlich können Sie den Download einer großen
Zip-Datei rekonstruieren, aber es kann sein, dass CommView für die
Rekonstruktion von mehreren Megabytes sehr lange braucht, und meist
ist dann auch die erhaltene Information sinnlos. Das
Register Inhalt
zeigt die
aktuellen Sitzungsdaten an, während das Register
Sitzungsanalyse den Fluss der
rekonstruierten TCP-Sitzungen graphisch darstellt.
Eine
Beispiel-HTTP-Session mit HTML-Daten, die im ASCII- und HTML-Modus
angezeigt werden, ist im Folgenden dargestellt:
Im
HTML-Anzeigemodus werden in den HTML-Seiten niemals Bilder
angezeigt, da im HTTP-Protokoll Bilder separiert vom Text
übertragen werden. Um diese Bilder zu sehen, müssen Sie zur
nächsten TCP-Sitzung navigieren. Im Folgenden finden Sie ein
Beispiel für eine HTTP-Sitzung, die Bilder enthält und im
HTML-Modus angezeigt wird:
Standardmässig
versucht CommView GZIP-ten Webinhalt zu dekomprimieren und Bilder
aus dem Binärstrom zu rekonstruieren. Diese Funktion kann im
Dialog Einstellungen
mittels des
Bereichs Decodierung
abgeschaltet
werden.
Wenn Sie im
unteren Bereich eine der Checkboxen deaktivieren, können Sie Daten,
die aus einer bestimmten Richtung kommen ausfiltern. Ein- und
ausgehende Daten haben, um markanter zu sein, verschiedene Farben.
Diese Farben können Sie mittels Einstellungen
=> Farben ändern. Wort-Wrapping kann
mittels Einstellungen
=> Word Wrap aktiviert/deaktiviert
werden.
Mittels der
Dropdown-Liste Anzeigetyp
können Sie die
Daten in folgenden Formaten ansehen: ASCII-
(Klartext),
HEX-
(hexadezimal),
HTML-
(Webseiten und
Bilder), EBCDIC-Format
(IBM
mainframes' data encoding) und UTF-8
(Unicode-Daten). Bitte
beachten Sie, dass die Ansicht der Daten im HTML- Format nicht
automatisch dieselben Ergebnisse bringt, wie mit dem Webbrowser
(Sie sehen dann keine Inlinegrafik), dennoch erhalten Sie eine
ungefähre Vorstellung, wie die Seite im Original aussah.
Im
Dialog Einstellungen
können Sie
unter Decodierung
festlegen, wie
der Standardanzeigetyp für die Rekonstruktion von TCP-Sitzungen
aussieht.
Mit den
Navigation-Buttons
können Sie den Puffer nach der nächsten oder letzten TCP-Sitzung
absuchen. Der erste Vorwärts-Button [>>] sucht nach der
nächsten Sitzung zwischen den beiden Hosts, die an der ersten
Rekonstruktionssitzung beteiligt waren. Der zweite Vorwärts-Button
[>>>] sucht nach der nächsten Sitzung zwischen zwei
beliebigen Hosts. Wenn Sie mehrere TCP-Sitzungen zwischen den zwei
Hosts im Puffer haben und alle nacheinander ansehen wollen,
empfehlen wir mit der Rekonstruktion der ersten Sitzung anzufangen,
da der Rückwärtsbutton [<<]
nicht weiter
zurück als bis zur zuerstrekonstruierten TCP-Sitzung gehen
kann.
Die so
erhaltenen Daten können als Binärdaten, HTML-, Text- oder
Rich-Textdatei durch Klicken auf Datei
=> Speichern unter… gesichert werden. Wenn Sie
in ein Textformat speichern, ist die Ergebnisdatei eine Unicode
UTF-16-Datei. Wird ins HTML-Format gespeichert, ist die
Verschlüsselung der Ergebnisdatei vom aktuell gewählten
Anzeigetyp
abhängig. Wenn
HTML aktuell gewählt ist, wird die Ergebnisdatei eine
ANSI-Textdatei, für alle anderen Anzeigetypen ist die Ergebnisdatei
eine Unicode UTF-16-Datei. Beachten Sie, wenn Sie eine HTTP-Sitzung
mit Bildern speichern, werden die Bilder in das temporäre
Verzeichnis auf Ihrer Festplatte gespeichjert, falls Sie die Bilder
behalten möchten, öffnen Sie die gespeicherte Datei in Ihrem
Browser und speichern die Datei in einem Format, dass Bilder
beinhaltet, z.B. MHT, .bevor Sie CommView schließen.
Sie können
durch Klicken auf Bearbeiten
=> Finden… nach einer Zeichenkette in
der Sitzung suchen.
Sitzungsanalyse
Das Register
Sitzungsanalyse des TCP-Sitzungsfensters stellt rekonstruierte
TCP-Sitzungen grafisch dar. Sie können den Sitzungsdatenfluss,
Fehler, Verzögerungen und verlorene erneut übertragene Daten
sehen.
Die folgenden
Daten werden für jedes Sitzungspaket angezeigt:
·
|
Absolute und relative SEQ-
und ACK-Werte.
|
·
|
Zeitdifferenz zwischen dem
aktuellen und dem vorhergehenden Paket.
|
·
|
Paketnummer in der
rekonstruierten Sitzung.
|
Wenn ein Paket
Fehler beinhaltet, wird die Eigenschaft des Fehlers erklärt. Es
erscheint ein Beschreibungstext am rechten Rand des Diagramms. Wenn
Sie die Maus über ein Paket mit Dateninhalt bewegen, wird der
Dateninhalt in einem Hinweisfenster angezeigt. Beachten Sie, dass
das Feld Anzeigetyp
bestimmt, wie
die Daten im Anzeigefenster decodiert werden. Ein Beispiel für ein
Sitzungsanalysefenster wird unten gezeigt:
Der rechte
Ausschnitt zeigt einige Basisstatistiken für die vorgegebene
Sitzung:
Verbindungszeit
– Die
benötigte Zeit zur Herstellung der TCP-Verbindung. In anderen
Worten, es ist die Dreiweg-TCP-Handshake-Zeit (SYN => SYN ACK
=> ACK).
Server-Antwortzeit
– Die
verstrichene Zeit zwischen der Klientenanfangsanfrage und der
ersten Datenantwort des Servers.
Datenübertragungszeit
– Die
Zeit zwischen der ersten und der letzten Datenantwort des Server's
(0 bei nur einer Server-Antwort).
Sie können das
grafische Schaubild der rekonstruierten TCP-Sitzung als BMP-, GIF-
oder PNG-Datei durch Rechtsklick auf das Schaubild und Auswahl des
Kontextmenüpunktes Bild
speichern als… speichern. Sitzungen mit
einer großen Paketanzahl werden in mehrere Dateien
aufgeteilt.
|