Home
Contents

CommView - Мониторинг и анализ сети

Prev Page Next Page
 
Введение
О программе CommView
Что нового
Работа с программой
Краткий обзор
Выбор сетевого адаптера для работы
Текущие IP-соединения
Пакеты
Log-файлы
Просмотр Log-файлов
Правила
Универсальные правила
Предупреждения
Реконструкция TCP-сессий
Реконструкция UDP-потоков
Поиск пакетов
Статистика и отчёты
Использование псевдонимов (алиасов)
Генератор пакетов
Визуальный конструктор пакетов
Определение изготовителя NIC
Захват по расписанию
Удаленный мониторинг (Remote Agent)
Использование RPCAP
Сбор трафика на логическом адаптере обратной связи (loopback)
Информация о портах
Установка опций
Часто задаваемые вопросы (FAQ)
Анализ VoIP
Введение
Работа с анализатором VoIP
Сессии SIP and H.323
Потоки RTP
Регистрации
Станции
Ошибки
Log-файлы звонков
Отчет
Воспроизведение звонка
Просмотр VoIP log-файлов
Работа со списками в анализаторе VoIP
Файлы NVF
Дополнительные возможности
Перехват больших объемов трафика
Запуск нескольких копий программы
Невидимый режим
Параметры командной строки
Обмен данными с вашим приложением
Пользовательский модуль декодирования
Формат Log-файлов CommView
Покупка и поддержка

Ответы на вопросы (FAQ)

В этой главе вы можете найти ответы на некоторые из наиболее часто задаваемых вопросов. Свежий FAQ всегда доступен на http://www.tamos.ru/products/commview/faq.php

В. Может ли CommView быть использован для перехвата dial-up (RAS) трафика?

О. Да.

В. Что может "видеть" CommView, которая инсталлирована на компьютер с локальной сетью?

О. CommView переводит сетевой адаптер во "всеядный" (promiscuous) режим, что позволяет перехватывать весь трафик в локальном сегменте сети. Другими словами, он перехватывает и анализирует пакеты, адресованные любому компьютеру сегмента, а не только к компьютеру, на котором запущена программа. Есть ограничения при использовании с Wireless Ethernet-адаптером (CommView будет перехватывать только входящие и исходящие пакеты с вашего компьютера, т. е. транзитные пакеты отображаться не будут), и при работе через switch (см. вопрос о switch ниже в FAQ) .

В. Я подключен к LAN через switch и, когда я запускаю CommView, он ловит только пакеты, идущие к/от меня, я не вижу трафика других машин. Почему?

О. В отличие от hub-ов, switch препятствует подслушиванию. В такой ситуации CommView (как и любой другой анализатор) ограничен приёмом broadcast и multicast пакетов, а также трафика того компьютера, на котором он запущен. Однако современные switch имеют функцию "port mirroring", что позволяет сконфигурировать их так, чтобы они перенаправляли трафик на некоторых или всех портах на специальный мониторный порт. Это позволит наблюдать трафик всего сегмента сети. На сайте доступна статья, в которой этот вопрос раскрыт подробно.

В. Я подключен к сети через hub, но не вижу чужого трафика, как если бы это был switch. Почему?

О. Возможны две причины: или это действительно switch, маркированный как hub (некоторые изготовители, например, Linksys иногда так поступают), или у вас многоскоростной hub, в этом случае вы не увидите трафик других станций, работающих на скоростях, отличающихся от скорости вашего адаптера (то есть, если у вас 10 Mbit-адаптер, вы не сможете увидеть трафик машин со 100 Mbit-адаптерами).

В. Моя домашняя сеть подключена к интернету через широкополосный маршрутизатор, и я вижу только свой собственный трафик. Можно ли наблюдать трафик остальных машин моей сети?

О. Да. Существует несколько способов решить эту задачу. За более подробной информацией и примерами конфигурации сети обратитесь к нашей статье.

В. Может ли CommView собирать данные на адаптере, который не имеет своего IP-адреса?

О. Да. Фактически, сетевой адаптер может быть даже не привязан ни к TCP/IP, ни к какому либо другому протоколу. При отладке сети вам может понадобиться подключить компьютер с CommView в свободный порт хаба. В этом случае вам необязательно знать, какие IP-адреса свободны в данном сегменте, просто снимите привязку адаптера к протоколу TCP/IP и начните перехват пакетов. В Control Panel => Network Connections щёлкните правой кнопкой на иконке соединения, выберите Properties и снимите метки с соответствующих протоколов, которые вы не хотите "привязывать" к NIC.

В. Я работаю в локальной сети с большим объемом трафика, и поэтому мне сложно изучать отдельные пакеты, когда программа принимает сотни и тысячи пакетов в секунду, и старые пакеты быстро исчезают из циркулярного буфера. Можно с этим что-нибудь сделать?

О. Да, нажмите кнопку Открыть текущий буфер в новом окне в нижней панели инструментов в закладке Пакеты. Таким образом вы сможете создавать копии окна в любой момент времени, с любым интервалом и изучать пакеты не торопясь.

В. Я запустил программу и нажал "Начать захват", но пакеты не отображаются. Почему?

О. Возможны две причины: вы выбрали неактивное сетевое устройство или ошиблись, устанавливая правила перехвата. Попробуйте выключить правила и посмотрите, что происходит. В любом случае, даже когда они включены, строка состояния программы будет отображать общее количество пакетов, так что посмотрите сначала туда.

В. Я заметил, что контрольные суммы исходящих пакетов IP/TCP/UDP неверные. Почему?

О. Gigabit-овые сетевые адаптеры имеют способность, называемую TCP/UDP/IP "checksum offload", она позволяет адаптеру вычислять контрольную сумму аппаратно, освобождая от этой работы процессор. CommView перехватывает пакеты до того, как они попадают в адаптер, поэтому он выдает неверную контрольную сумму. Это нормальное явление и может повлиять только на процесс реконструкции TCP-сессии, причем только в том случае, если выключена опция "Игнорировать некорректные контрольные суммы" (подробнее смотрите здесь).

В. Работает ли CommView на многопроцессорных системах?

О. Да.

В. Похоже, невозможно сохранить более 5000 пакетов из пакетного буфера. Есть ли способ решить эту проблему?

О. На самом деле такого ограничения нет. Для сохранения перехваченных пакетов в программе используется кольцевой (циркулярный) буфер. По умолчанию в буфере может содержаться до 5000 пакетов, но это значение можно поменять в окне Установки. Максимальный размер буфера составляет 20000 пакетов (буфер не может быть бесконечным по очевидным причинам – объем оперативной памяти на вашем компьютере тоже не бесконечен). Вы можете записать содержимое буфера в файл из закладки Log-файлы. Тем не менее, данное ограничение на размер буфера ни коим образом не ограничивает ваши возможности по сохранению любого количества пакетов. Вам всего лишь следует включить опцию автосохранения на данной закладке. Таким образом, программа будет непрерывно записывать в файл(ы) все перехваченные пакеты, и вы сможете установить любое ограничение на объем перехваченных данных.

В. Я подключен к сети через cable/xDSL-модем. Будет ли CommView осуществлять мониторинг трафика в этом случае?

О. Если модем поддерживает оба интерфейса USB и Ethernet, и вы можете подключить его к сетевому адаптеру Ethernet, CommView сможет наблюдать сетевой трафик. Если на модеме есть только USB-интерфейс, то можно, по крайней мере, попробовать.

В. Во время использования CommView мой файрволл сообщает, что CommView "пытается получить доступ в  Internet". Я знаю, что некоторые сайты способны отслеживать пользователей, собирая информацию, посылаемую их программами через интернет. Зачем CommView пытается получить доступ в  интернет?

О. Ваш файрволл могут заставить сработать 3 события. Во-первых, может иметь место попытка преобразования IP-адресов в имена хостов. Поскольку CommView обращается к вашим DNS-серверам для выполнения DNS-запроса, неизбежно возникнет предупреждение со стороны файрволла. Вы можете это отключить (Настройка=>Установки=>Отключить распознавание DNS), но в этом случае в окне последних соединений не будут показаны имена хостов. Во-вторых, вы могли настроить программу таким образом, что она автоматически проверяет наличие обновлений или новых версий. Для этого CommView соединяется с сайтом www.tamos.com. Вы можете это отключить (Настройка=>Установки=>Разное=>Включить автоматическую проверку обновлений).  В-третьих, после покупки программы требуется ее активация. Если вы выберете онлайн-активацию, то программа сама подключится к www.tamos.com. Этого можно избежать, выбрав активацию вручную. Это единственные виды соединений, которые может устанавливать CommView. Программа не ведет никакого скрытого обмена данными – мы не продаем spyware.

В. Зачастую я вхожу как пользователь без административных прав. Следует ли мне каждый раз выходить и заходить вновь уже как администратор?

О. Нет. Откройте папку с CommView и, удерживая нажатой клавишу Shift, щелкните правой кнопкой мышки на CV.exe и выберите в меню пункт "Запустить как". Введите административные логин/пароль и нажмите OK для запуска программы. Под операционными системами Windows Vista и старше CommView автоматически запускается с повышенными правами.

В. Может ли CommView работать с сетевым адаптером, если CommView запущен под Microsoft Virtual PC?

О. Да. Единственным ограничением является то, что для виртуальных адаптеров недоступен "всеядный" режим, так что вы будете ограничены возможностью перехвата только собственных пакетов и пакетов, которые адресованы всем.

В. Во время dial-up соединения я не вижу PPP-пакетов. Это нормально?

О. К сожалению, пакеты согласования PPP не могут быть перехвачены. Заметим, что те PPP-пакеты, которые следуют непосредственно после пакетов согласования, перехватываются успешно.

В. Я работаю с WireShark и заметил, что после установки CommView больше не могу перехватывать пакеты.

О. Это известный конфликт между WinPcap (драйвером, который используется в WireShark и многих других сходных продуктах) и драйвером, используемым в CommView. Есть простое решение проблемы: начинайте перехват пакетов с помощью WireShank до того, как начнете перехват с помощью CommView. В этом случае обе программы будут осуществлять захват данных одновременно. Если же вы начнете перехват из CommView раньше, то по неизвестной нам причине WinPcap не сможет перехватывать пакеты.

В. Я реконструировал TCP-сессию, содержащую HTML-страницы на японском или китайском языке, но я не вижу текста!:

О. Для того чтобы иметь возможность просматривания восточных языков, вам нужно установить соответствующие шрифты. Откройте Панель управления => Язык и региональные стандарты, выберите пункт "Языки" и включите опцию "Установить поддержку языков с письмом иероглифами".

Более подробная информация о лицензировании доступна в лицензионном соглашении, сопровождающем продукт.

В. Поддерживает или анализатор VoIP экспорт аудио-информации в WAV или MP3?

О. Напрямую – нет, но на рынке представлено достаточное количество программ, которые могут решить эту задачу. Фактически, вам нужен "виртуальный аудио-кабель", т.е. возможность сохранения в файл всего, что проигрывается через вашу аудио-карту. К примеру, вы можете использовать программу Xilisoft Sound Recorder (используйте режим "What you hear").