Home
Contents

CommView for WiFi - анализ и мониторинг беспроводных сетей

Prev Page Next Page
 
Введение
О программе CommView for WiFi
Что нового
Работа с программой
Установка драйвера
Обзор
Главное меню
Узлы
Детальная информация по точкам доступа и станциям
Каналы
Текущие IP-соединения
Пакеты
Log-файлы
Просмотр Log-файлов
Правила
Универсальные правила
Предупреждения
Ключи WEP/WPA
Реконструкция TCP-сессий
Реконструкция UDP-потоков
Поиск пакета
Статистика и отчеты
Псевдонимы
Генератор пакетов
Визуальный конструктор пакетов
Производитель NIC
Захват по расписанию
Реассоциация узлов
Работа с CommView Remote Agent for WiFi
Использование RPCAP
Использование Aruba remote capture
Информация о портах
Установка опций
Ответы на вопросы (FAQ)
Анализ VoIP
Введение
Работа с анализатором VoIP
Сессии SIP и H.323
Потоки RTP
Регистрации, станции, ошибки
Log-файлы звонков и отчеты
Воспроизведение звонка
Просмотр VoIP log-файлов
Работа со списками в анализаторе VoIP
Файлы NVF
Дополнительные главы
Мониторинг сетей 802.11n, 802.11ас и 802.11ax
Ошибки CRC и ICV
Расшифровывание WPA
Об уровне сигнала
Захват пакетов A-MPDU и A-MSDU
Использование CommView For WiFi на виртуальной машине
Многоканальный захват
Спектральный анализ
Перехват больших объемов трафика
Невидимый режим
Параметры командной строки
Обмен данными с вашим приложением
Пользовательский модуль декодирования
Формат Log-файлов CommView
Информация
Как купить CommView for WiFi

Реконструкция TCP-сессий

С помощью этой утилиты можно просмотреть процесс обмена между двумя хостами по TCP.  Чтобы восстановить TCP- сессию, необходимо сначала выбрать пакет TCP в закладке Пакеты. В зависимости от установок (Искать начало сессии при реконструкции TCP-сессий в меню Настройка => Установки => Декодер), сессия будет восстановлена начиная с выбранного пакета, который может оказаться в середине сессии, либо с ее начала. Найдя и выбрав нужный пакет, щёлкните правой кнопкой мышки на нём, в появившемся меню выберите Реконструкция TCP-сессии, как показано здесь:

Reconsctruct TCP

Процесс восстановления лучше всего работает для текстовых протоколов, таких как POP3, Telnet, или HTTP. Возможно также восстановление процесса пересылки большого ZIP-архива, но на обработку нескольких мегабайт данных CommView for WiFi потребуется слишком много времени. Кроме того, в большинстве случаев полученная информация будет бесполезна. В закладке Содержимое показаны фактические данные по сессии, а в закладке Анализ TCP-сессии показан поток реконструированной TCP-сессии.

Ниже показан пример реконструкции HTTP-сессии, содержащей данные HTML, в режимах ASCII и HTML соответственно:

Reconsctruct TCP

 

Reconsctruct TCP

В режиме отображения HTML гипертекстовые страницы обычно не содержат графических объектов, поскольку в рамках протокола HTTP изображения передаются отдельно. Для просмотра изображений обычно требуется перейти к следующей TCP-сессии. Ниже приведён пример HTTP-сессии, содержащей графические объекты, которые отображаются гипертекстовом режиме:

Reconsctruct TCP

По умолчанию, CommView for WiFi разархивирует web-трафик, сжатый с помощью GZIP, и восстанавливает изображения из бинарных потоков данных. Чтобы выключить эти опции, воспользуйтесь закладкой Декодер.

Можно игнорировать данные из определенного источника, установив соответствующий флажок в нижней части окна. Для удобства входящие и исходящие данные помечены разным цветом. Если вы хотите изменить цветовую гамму, выберите Установки => Цвета и воспользуйтесь палитрой. Можно включить или выключить перенос слов: Установки => Перенос по словам.

Выпадающее меню Логика отображения позволяет просматривать выбрать режимы просмотра ASCII (обычный текст), HEX (шестнадцатеричные данные), HTML (web-документы и картинки), EBCDIC (кодировка, используемая в мейнфреймах IBM) и UTF-8 (юникод). Учтите, что результаты просмотра данных в режиме HTML могут выглядеть несколько иначе, чем при просмотре настоящим браузером (вы не увидите графические объекты и т. п.), однако вполне можно представить, как выглядела данная страница на самом деле.

Выбрать вид отображения по умолчанию можно в закладке Декодер.

Кнопки навигации позволяют осуществлять переход между предыдущей и последующей TCP-сессиями. Первая кнопка "вперёд" [>>] перейдёт к следующей сессии между теми же хостами, что и при первом вызове реконструкции. Вторая кнопка "вперёд" [>>>] перейдёт к следующей сессии между любыми двумя хостами. Если в буфере несколько сессий, рекомендуется начинать реконструкцию с самой первой, так как кнопка возврата [<<] не сможет перейти на сессию, предшествующую той, с которой началась реконструкция.

Полученные данные вы можете записать на диск в двоичном виде, в текстовом, HTML или RTF-формате, выбрав Файл =>  Сохранить как…. При сохранении в текстовом формате, Вы получите файл в кодировке Unicode UTF-16. При сохранении информации в HTML-формате, кодировка выходного файла будет зависеть от значения опции Логика отображения. Если выбран режим просмотра HTML, то файл будет иметь формат ANSI; для остальных режимов просмотра – формат Unicode UTF-16. Обратите внимание, что сохраняя HTTP-сессию вместе с изображениями, изображения из HTML-файла сохраняются во временной директории вашего диска, поэтому если вы хотите их оставить, откройте сохраненный файл в вашем браузере и пересохраните файл в формате, который может включать изображения (например, MHT) до того, как закроете CommView for WiFi.

Для поиска строки в пределах текущей сессии, нажмите Редактировать => Найти…

Анализ сессий

В закладке Анализ TCP-сессии окна TCP-сессия показывается восстановленная TCP-сессия в графическом виде. Здесь вы увидите потоки данных в этой сессии, ошибки, задержки и факты повторной передачи потерявшейся информации.

Для каждого пакета сессии показана следующая информация:

·Флаги TCP.

·Абсолютные и относительные значения SEQ и ACK.

·Время прибытия пакета.

·Временной интервал между текущим и предыдущим пакетами.

·Номер пакета в восстановленной сессии.

Если пакет содержит ошибки, то будет показано текстовое описание этих ошибок справа от картинки. Когда вы наведете курсор мыши на пакет, во всплывающем окне будет показано его содержимое при условии, что пакет содержит данные. Помните, что в поле Логика отображения задается способ декодирования данных во всплывающем окне. Пример окна анализа TCP-сессии показан ниже.

TCP Session Analysis

В правой панели показана основная статистика для данной сессии:

Время соединения – время, затраченное на установление TCP-соединения. Иными словами, это время трехстороннего обмена по TCP (SYN => SYN ACK => ACK).

Время ответа сервера – время с момента начального запроса клиента до первого отклика сервера.

Время передачи данных – время между первым и последним ответом сервера (0 в том случае, если был всего один ответ от сервера).

Вы можете сохранить графическое представление восстановленной TCP-сессии в файлы BMP, GIF или PNG, кликнув по рисунку правой кнопкой мыши и выбрав в контекстном меню Сохранить изображение как… . Сессия с большим количеством пакетов будет разбита на несколько файлов.