Mit diesem Dialog können Sie sich die TCP-Kommunikation zwischen
zwei Host’s ansehen. Um eine TCP-Sitzung zu rekonstruieren, wählen
Sie als erstes ein TCP-Paket im Register
Pakete.
Abhängig von den Einstellungen (Checkbox:
Suche den Sitzungstart wenn TCP-Sitzungsrekonstruktion
startet
in
Einstellungen => Optionen => Dekodierung),
wird die Sitzung von dem ausgewählten Paket ausgehend (kann ein
Paket aus der Sitzungsmitte oder vom Sitzungsstart sein)
rekonstruiert. Nach dem Sie das Paket gefunden und ausgewählt
haben, führen Sie einen Rechtsklick darauf aus und wählen
TCP-Sitzung rekonstruieren
wie unten gezeigt:
Rekonstruktionssitzungen funktionieren am besten mit textbasierten
Protokollen, wie POP3, Telnet oder HTTP. Natürlich können Sie den
Download einer großen Zip-Datei rekonstruieren, aber es kann sein,
dass CommView for WiFi für die Rekonstruktion von mehreren
Megabytes sehr lange braucht, und meist ist dann auch die erhaltene
Information sinnlos.
Das Register
Inhalt
zeigt die aktuellen Sitzungsdaten an, während das Register
Sitzungsanalyse
den Fluss der rekonstruierten TCP-Sitzungen graphisch
darstellt.
Eine Beispiel-HTTP-Session mit HTML-Daten, die im ASCII- und
HTML-Modus angezeigt werden, ist im Folgenden dargestellt:
Normalerweise werden im HTML-Anzeigemodus in den HTML-Seiten keine
Bilder angezeigt, da im HTTP-Protokoll Bilder separiert vom Text
übertragen werden. Um diese Bilder zu sehen, müssen Sie zur
nächsten TCP-Sitzung navigieren. Im Folgenden finden Sie ein
Beispiel für eine HTTP-Sitzung, die Bilder enthält und im
HTML-Modus angezeigt wird:
Standardmäßig versucht CommView for WiFi GZIP-ten Webinhalt zu
dekomprimieren und Bilder aus dem Binärstrom zu rekonstruieren.
Diese Funktion kann im Dialog
Einstellungen
mittels des Bereichs
Decodierung
abgeschaltet werden.
Wenn Sie im unteren Bereich eine der Checkboxen deaktivieren,
können Sie Daten, die aus einer bestimmten Richtung kommen
ausfiltern. Ein- und ausgehende Daten sind zur besseren Erkennung
durch verschiedene Farben markiert. Diese Farben können Sie
mittels
Einstellungen => Farben
ändern. Wort-Wrapping kann mittels
Einstellungen => Word Wrap
aktiviert/deaktiviert werden.
Mittels der Dropdown-Liste
Anzeigetyp
können Sie die Daten in folgenden Formaten ansehen:
ASCII-
(Klartext),
HEX-
(hexadezimal),
HTML-
(Webseiten und Bilder),
EBCDIC-Format
(IBM mainframes' data encoding) und
UTF-8
(Unicode-Daten). Bitte beachten Sie, dass die Ansicht der Daten im
HTML-Format nicht automatisch dasselbe Ergebniss bringt, wie mit
dem Webbrowser (Sie sehen dann keine Inlinegrafik), dennoch
erhalten Sie eine ungefähre Vorstellung wie die Seite im Original
aussah.
Im Dialog
Optionen
können Sie unter
Decodierung
festlegen, wie der Standardanzeigetyp für die Rekonstruktion von
TCP- Sessions aussieht.
Mit den Navigation-Buttons können Sie den Puffer nach der nächsten
oder letzten TCP-Sitzung absuchen. Der erste Vorwärts-Button
[>>] sucht nach der nächsten Sitzung zwischen den beiden
Hosts, die an der ersten Rekonstruktionssitzung beteiligt waren.
Der zweite Vorwärts-Button [>>>] sucht nach der nächsten
Sitzung zwischen zwei beliebigen Hosts. Wenn Sie mehrere
TCP-Sitzungen zwischen den zwei Hosts im Puffer haben und alle
nacheinander ansehen wollen, empfehlen wir mit der Rekonstruktion
der ersten Sitzung anzufangen, da der Rückwärtsbutton [<<]
nicht weiter zurück als bis zur zuerstrekonstruierten TCP-Sitzung
gehen kann.
Die so erhaltenen Daten können als Binärdaten, HTML-, Text- oder
Rich-Textdatei durch Klicken auf
Datei => Speichern unter…
gesichert werden. Wenn Sie in ein Textformat speichern, ist die
Ergebnisdatei eine Unicode UTF-16-Datei. Wird ins HTML-Format
gespeichert, ist die Verschlüsselung der Ergebnisdatei vom aktuell
gewählten
Anzeigetyp
abhängig. Wenn HTML aktuell gewählt ist, wird die Ergebnisdatei
eine ANSI-Textdatei, für alle anderen Anzeigetypen ist die
Ergebnisdatei eine Unicode UTF-16-Datei. Beachten Sie, wenn Sie
eine HTTP-Sitzung mit Bildern speichern, werden die Bilder in das
temporäre Verzeichnis auf Ihrer Festplatte gespeichjert, falls Sie
die Bilder behalten möchten, öffnen Sie die gespeicherte Datei in
Ihrem Browser und speichern die Datei in einem Format, dass Bilder
beinhaltet, z.B. MHT, .bevor Sie CommView for WiFi
schließen.
Sie können durch Klicken auf
Bearbeiten => Finden…
nach einer Zeichenkette in der Sitzung suchen.
Sitzungsanalyse
Das Register Sitzungsanalyse des TCP-Sitzungsfensters stellt
rekonstruierte TCP-Sitzungen grafisch dar. Sie können den
Sitzungsdatenfluss, Fehler, Verzögerungen und verlorene erneut
übertragene Daten sehen.
Die folgenden Daten werden für jedes Sitzungspaket
angezeigt:
·TCP-Flags.
·Absolute
und relative SEQ- und ACK-Werte.
·Paketankunftszeit.
·Zeitdifferenz
zwischen dem aktuellen und dem vorhergehenden Paket.
·Paketnummer
in der rekonstruierten Sitzung.
Wenn ein Paket Fehler beinhaltet, wird die Eigenschaft des Fehlers
erklärt. Es erscheint ein Beschreibungstext am rechten Rand des
Diagramms. Wenn Sie die Maus über ein Paket mit Dateninhalt
bewegen, wird der Dateninhalt in einem Hinweisfenster angezeigt.
Beachten Sie, dass das Feld
Anzeigetyp
bestimmt, wie die Daten im Anzeigefenster decodiert werden. Ein
Beispiel für ein Sitzungsanalysefenster wird unten
gezeigt:
Der rechte Ausschnitt zeigt einige Basisstatistiken für die
vorgegebene Sitzung:
Verbindungszeit
– Die benötigte Zeit zur Herstellung der TCP-Verbindung. In anderen
Worten, es ist die Dreiweg-TCP-Handshake-Zeit (SYN => SYN ACK
=> ACK).
Server-Antwortzeit
– Die verstrichene Zeit zwischen der Klientenanfangsanfrage und der
ersten Datenantwort des Server’s.
Datenübertragungszeit
– Die Zeit zwischen der ersten und der letzten Datenantwort des
Server's (0 bei nur einer Server-Antwort).
Sie können das grafische Schaubild der rekonstruierten TCP-Sitzung
als BMP-, GIF- oder PNG-Datei durch Rechtsklick auf das Schaubild
und Auswahl des Kontextmenüpunktes
Bild speichern als…
speichern. Sitzungen mit einer großen Paketanzahl werden in mehrere
Dateien aufgeteilt.
|