Home
Contents

CommView - Мониторинг и анализ сети
Prev Page Next Page
 
Введение
О программе CommView
Что нового
Работа с программой
Краткий обзор
Выбор сетевого адаптера для работы
Текущие IP-соединения
Пакеты
Log-файлы
Просмотр Log-файлов
Правила
Универсальные правила
Предупреждения
Реконструкция TCP-сессий
Реконструкция UDP-потоков
Поиск пакетов
Статистика и отчёты
Использование псевдонимов (алиасов)
Генератор пакетов
Визуальный конструктор пакетов
Определение изготовителя NIC
Захват по расписанию
Удаленный мониторинг (Remote Agent)
Использование RPCAP
Сбор расшифрованного SSL-трафика
Сбор трафика на логическом адаптере обратной связи (loopback)
Информация о портах
Установка опций
Часто задаваемые вопросы (FAQ)
Анализ VoIP
Введение
Работа с анализатором VoIP
Сессии SIP and H.323
Потоки RTP
Регистрации
Станции
Ошибки
Log-файлы звонков
Отчет
Воспроизведение звонка
Просмотр VoIP log-файлов
Работа со списками в анализаторе VoIP
Файлы NVF
Дополнительные возможности
Перехват больших объемов трафика
Запуск нескольких копий программы
Невидимый режим
Параметры командной строки
Обмен данными с вашим приложением
Пользовательский модуль декодирования
Формат Log-файлов CommView
Покупка и поддержка

Сбор расшифрованного SSL-трафика

В дополнение к физическим и виртуальным сетевым адаптерам, CommView позволяет выбрать один из адаптеров, содержащих в названии "Decrypted SSL", что дает возможность захватывать и расшифровывать локальный трафик SSL. Эти адаптеры не являются настоящими адаптерами, это эмуляция адаптеров, но, для простоты, мы будем называть их тоже "адаптерами". Когда вы производите захват данных с таких адаптеров, CommView эмулирует пакеты TCP, используя захваченные SSL-сессии. В результате вы можете работать с этими TCP-пакетами ровно также, как вы работаете с любыми другими пакетами, полученными от реальных адаптеров.

При работе с расшифрованным трафиком SSL следует учитывать следующие особенности:

·Захвачен может быть только локальный трафик. Другими словами, CommView (или любое другое приложение) не может расшифровать трафик, которым обмениваются другие компьютеры. Если бы это было возможно, мы бы, наверное, получили многомиллионную премию за величайший прорыв в криптографии.

·Мы рекомендуем закрыть ваши браузеры до начала захвата трафика и открыть их снова после начала захвата трафика. Это необходимо для того, чтобы браузеры обновили список доверенных сертификатов. CommView добавляет свой сертификат в список доверенных, что позволяет захватывать и расшифровывать трафик.

·Мы не можем гарантировать, что CommView сможет расшифровать абсолютно все SSL-сессии. Некоторые приложения используют нестандартные компоненты для шифрования трафика. Однако мы поддерживаем расшифровку сессий всех современных популярных браузеров.

·После начала захвата трафика некоторые приложения могут сообщить о "неизвестном" сертификате или о сертификате, которые не является "доверенным". Такое поведение нормально, поскольку CommView выступает посредником между приложением, работающим на вашем компьютере, и сервером, с которым это приложение соединяется. Это посредничество подразумевает временную (только на время захвата трафика в CommView) замену сертификата сервера на собственный сертификат CommView. Если вы видите такое сообщение, просто перезапустите приложение. Обычно это решает проблему. Если это не помогает, можно добавить сертификат CommView в список доверенных сертификатов приложения, если такая функциональность доступна. Путь к файлу сертификата C:\Program Files (x86)\CommView\certs\SSL\CommView CA 2.cer (для 64-битной версии Windows) и C:\Program Files\CommView\certs\SSL\CommView CA 2.cer (для 32-битной версии Windows). Если это также не помогло, то, к сожалению, мы бессильны.

·Пакеты TCP/IP, которые CommView показывает в процессе захвата трафика, являются эмулированными. Это означает, что CommView сама создает для них искусственные хедеры Ethernet, IP и TCP. Такие пакеты имеют особые MAC-адреса источника и назначения: 00:00:00:00:10 и 00:00:00:00:20 для входящих пактов и наоборот для исходящих пакетов. У таких пакетов также эмулируются значения SEQ и ACK.

·Поскольку пакеты являются эмулированными, они могут неточно отражать реальную пакетную структуру захваченной SSL-сессии. К примеру, зашифрованная с помощью SSL веб-страница длиной 10,000 байт, которую браузер получил от сервера, в реальности может быть передана браузеру в виде 7 или 8 зашифрованных TCP-пакетов. Однако в CommView вся страница может быть представлена в виде одного TCP-пакета длиной 10,000 байт. По той же причине пакеты, в которых происходит SSL-хендшейк, вообще не показываются, потому что они не имеют содержимого, представляющего реальную передачу данных между сервером и клиентом.

CommView дает возможность выбрать один из трех эмулированных адаптеров для анализа SSL-трафика:

1.Local SSL (Decrypted)

2.Local SSL (Decrypted) + HTTP

3.Local SSL (Decrypted) + TCP

При выборе первого, захватываются только SSL-сессии. При выборе второго, захватываются как SSL-сессии, так и незашифрованный HTTP-трафик. При выборе третьего, захватываются как SSL-сессии, так и любые незашифрованные TCP-сессии. Обратите внимание на то, что в любом из этих трех режимов TCP-сессии являются эмулированными, со всеми описанными выше особенностями эмулированных сессий. Если вам нужны оригинальные, немодифицированные пакеты в том виде, в котором их получает и посылает ваш сетевой адаптер, то лучше выбрать соответствующий сетевой  адаптер, а не один из эмулированных адаптеров (при этом, естественно, потеряется возможность расшифровки трафика).