В дополнение к физическим и виртуальным сетевым адаптерам, CommView
позволяет выбрать один из адаптеров, содержащих в названии
"Decrypted SSL",
что дает возможность захватывать и расшифровывать локальный трафик
SSL. Эти адаптеры не являются настоящими адаптерами, это эмуляция
адаптеров, но, для простоты, мы будем называть их тоже
"адаптерами". Когда вы производите захват данных с таких адаптеров,
CommView эмулирует пакеты TCP, используя захваченные SSL-сессии. В
результате вы можете работать с этими TCP-пакетами ровно также, как
вы работаете с любыми другими пакетами, полученными от реальных
адаптеров.
При работе с расшифрованным трафиком SSL следует учитывать
следующие особенности:
·Захвачен
может быть
только локальный трафик.
Другими словами, CommView (или любое другое приложение) не может
расшифровать трафик, которым обмениваются другие компьютеры. Если
бы это было возможно, мы бы, наверное, получили многомиллионную
премию за величайший прорыв в криптографии.
·Мы
рекомендуем
закрыть ваши браузеры
до начала захвата трафика и
открыть их снова после начала захвата
трафика. Это необходимо для того, чтобы браузеры обновили список
доверенных сертификатов. CommView добавляет свой сертификат в
список доверенных, что позволяет захватывать и расшифровывать
трафик.
·Мы
не можем гарантировать, что CommView сможет расшифровать абсолютно
все SSL-сессии. Некоторые приложения используют нестандартные
компоненты для шифрования трафика. Однако мы поддерживаем
расшифровку сессий всех современных популярных
браузеров.
·После
начала захвата трафика некоторые приложения могут сообщить о
"неизвестном"
сертификате
или о сертификате, которые не является "доверенным". Такое
поведение нормально, поскольку CommView выступает посредником между
приложением, работающим на вашем компьютере, и сервером, с которым
это приложение соединяется. Это посредничество подразумевает
временную (только на время захвата трафика в CommView) замену
сертификата сервера на собственный сертификат CommView. Если вы
видите такое сообщение, просто перезапустите приложение. Обычно это
решает проблему. Если это не помогает, можно добавить сертификат
CommView в список доверенных сертификатов приложения, если такая
функциональность доступна. Путь к файлу сертификата
C:\Program Files (x86)\CommView\certs\SSL\CommView CA 2.cer
(для 64-битной версии Windows) и
C:\Program Files\CommView\certs\SSL\CommView CA 2.cer
(для 32-битной версии Windows). Если это также не помогло, то, к
сожалению, мы бессильны.
·Пакеты
TCP/IP, которые CommView показывает в процессе захвата трафика,
являются эмулированными. Это означает, что CommView сама создает
для них
искусственные хедеры Ethernet, IP и TCP.
Такие пакеты имеют особые MAC-адреса источника и назначения:
00:00:00:00:10 и 00:00:00:00:20 для входящих пактов и наоборот для
исходящих пакетов. У таких пакетов также эмулируются значения SEQ и
ACK.
·Поскольку
пакеты являются эмулированными, они
могут неточно отражать реальную пакетную структуру захваченной
SSL-сессии.
К примеру, зашифрованная с помощью SSL веб-страница длиной 10,000
байт, которую браузер получил от сервера, в реальности может быть
передана браузеру в виде 7 или 8 зашифрованных TCP-пакетов. Однако
в CommView вся страница может быть представлена в виде одного
TCP-пакета длиной 10,000 байт. По той же причине пакеты, в которых
происходит SSL-хендшейк, вообще не показываются, потому что они не
имеют содержимого, представляющего реальную передачу данных между
сервером и клиентом.
CommView дает возможность выбрать один из трех эмулированных
адаптеров для анализа SSL-трафика:
1.Local
SSL (Decrypted)
2.Local
SSL (Decrypted) + HTTP
3.Local
SSL (Decrypted) + TCP
При выборе первого, захватываются только SSL-сессии. При выборе
второго, захватываются как SSL-сессии, так и незашифрованный
HTTP-трафик. При выборе третьего, захватываются как SSL-сессии, так
и любые незашифрованные TCP-сессии. Обратите внимание на то, что в
любом из этих трех режимов TCP-сессии являются эмулированными, со
всеми описанными выше особенностями эмулированных сессий. Если вам
нужны оригинальные, немодифицированные пакеты в том виде, в котором
их получает и посылает ваш сетевой адаптер, то лучше выбрать
соответствующий сетевой адаптер, а не один из эмулированных
адаптеров (при этом, естественно, потеряется возможность
расшифровки трафика).
|