В меню
Настройка => Установки
вы можете настроить некоторые опции программы.
Основные
Автозапуск захвата
– установите этот флажок, если вы хотите чтобы CommView начал
перехват пакетов непосредственно после запуска программы. Если в
системе несколько устройств, выберите из выпадающего списка то
устройство, которое будет при этом использоваться.
Отключить распознавание DNS
– установите этот флаг, если вы не хотите, чтобы CommView делал
обратный DNS поиск IP-адресов. Если флажок установлен, то
колонка
Имя хоста
закладки
Последние IP-соединения
будет пустой.
Преобразовывать номера портов в имена служб
– установите этот флаг, если вы хотите, чтобы CommView отображал
названия сервисов вместо номеров портов. Например, если этот флажок
установлен, порт 21 показывается как ftp, а порт 23 как telnet.
Программа преобразует численные значения в названия сервисов,
используя файл SERVICES, инсталлированный системой. Файл SERVICES
находится в каталоге \Winnt\system32\drivers\etc. Вы можете вручную
редактировать этот файл, если хотите добавить другие названия
портов/сервисов.
Преобразовывать МАС-адреса в псевдонимы
– заменять MAC-адреса пакетов в закладке
Пакеты.
Создавать
алиасы
можно командой меню
Настройка => MAC-псевдонимы.
Преобразовывать IP-адреса в псевдонимы–
заменять IP-адреса пакетов в закладках
Пакеты
и
Статистика.
Создавать
алиасы
можно командой меню
Настройка => IP-псевдонимы.
Преобразовывать IP-адреса в имена хостов в закладке "Пакеты"
– установите этот флаг, если вы хотите, чтобы CommView отображал
имена хостов вместо их IP-адресов в закладке
Пакеты.
Если этот флаг установлен, CommView сначала попробует найти алиас
для данного адреса. Если алиаса нет, или не установлен флаг
Преобразовывать IP-адреса в псевдонимы,
CommView запросит внутренний кэш DNS. Если имя хоста не будет
найдено, IP-адрес будет отображён в виде численного
значения.
Использовать non-promiscuous режим
– по умолчанию, CommView переводит сетевой адаптер в
"беспорядочный" режим (promiscuous mode), состояние, в котором
сетевой адаптер обнаруживает в сети все пакеты вне зависимости от
их конечного адреса. Установка этого флага переводит сетевой
адаптер в нормальный режим фильтрации пакетов. Воспользуйтесь им в
случае, если политика сетевой безопасности вашей компании не
разрешает тотальный мониторинг. Также используйте этот режим, если
вы хотите снизить нагрузку на процессор при мониторинге лишь
собственных входящих/исходящих пакетов, игнорируя при этом все
транзитные.
Извещать об изменении списка адаптеров
– установите этот флаг, если вы хотите, чтобы CommView
показывал всплывающее сообщение при изменении числа активных
сетевых адаптеров.
Показывать полный путь процессов
– установите этот флаг, если требуется показать полный путь к
процессу, который отсылает/принимает пакеты (вкладка
Последние IP-соединения
и дерево декодированных пакетов во вкладке
Пакеты.
Например, "C:\Files\Program.exe"
- полный путь, а "Program.exe" - короткий).
Показывать упрощенные имена адаптеров–
установите этот флаг, если требуется показать названия адаптеров в
выпадающем списке таким же образом, как они показаны в Windows
Network Connections.
Показывать сетку
– показать линии сетки во всех списках пакетов.
Использование памяти
Хранение данных
Максимальное количество пактов в буфере
– устанавливает максимальное количество пакетов, сохраняемых в
памяти и которое можно отобразить в списке пакетов (вторая
закладка). Например, если вы устанавливаете это значение равным
3000, только последние 3000 пакетов будут храниться в памяти и
списке пакетов. Чем выше это значение, тем больше ресурсов
потребляется программой. Если вы хотите иметь доступ к большему
количеству пакетов, рекомендуем воспользоваться функцией
автоматического сохранения - это позволит сохранить в файле все
пакеты. Подробности в главе
Ведение
Log-файлов
Максимальное количество строк в текущих IP-соединениях
- устанавливает количество строк в закладке
Статистика.
Когда количество соединений превышает указанный предел, самые
старые из неактивных соединений удаляются из списка.
Буфер драйвера
- устанавливает размер буфера драйвера. Эта установка влияет на
производительность программы: чем больше памяти выделено, тем
меньше программа теряет пакетов. При низком трафике локальной сети
или dial-up соединении размер буфера некритичен. При высоком
уровне трафика в локальной сети, может понадобиться увеличить
размер буфера, если программа начинает пропускать
пакеты.
Текущие IP-соединения
Тип отображения
– опция позволяет выбрать способ отображения последних соединений.
В выпадающем списке будет показано описание выбранного
способа отображения. В большинстве случаев рекомендуется
пользоваться режимом
Smart.
Задание локальных IP-адресов
– это требуется сделать, если наблюдаемый LAN-трафик содержит
множество транзитных пакетов, и в обмене участвуют как внешние, так
и внутренние IP-адреса. В этом случае CommView не может
определить, какие IP-адреса следует считать локальными, и может
неверно распределить их по колонкам локальных и удалённых
IP-адресов. В этом окне можно явно задать локальные сетевые адреса
и маски подсети, чтобы в окне статистики содержалась достоверная
информация. Все вышеописанное будет работать только при включенном
режиме отображения
Smart.
Добавлять цифровой PID к имени процесса
– установите эту метку, если требуется показывать численные
идентификаторы процессов после их названия в колонке
Процессы.
Цвета
Цвета пакетов
– устанавливает цвет отображения пакетов в закладке
Пакеты
в зависимости от направления (входящий, исходящий,
транзитный). Чтобы изменить цвет, выберите направление пакета из
списка и нажмите на прямоугольник с нужным цветом.
Расцветка заголовков пакета
– установите этот флаг, если хотите, чтобы CommView задавал цвета
содержимому пакетов. Если флаг установлен, программа отображает
первые 8 уровней пакета, используя различные цвета. Чтобы изменить
цвет, выберите тип заголовка, для которого вы хотите изменить цвет
и нажмите на прямоугольник с нужным цветом.
Подсветка синтаксиса формул
– задаёт цвета отображения ключевых слов в формулах
составных
правил.
Цвет выделенной части пакета
– задаёт цвета отображения последовательности байт, выбранных в
дереве декодирования. Например, если выбрать узел "TCP" в декодере,
соответствующая часть пакета будет выделена данным
цветом.
Декодер
Полностью разворачивать все узлы в окне декодера
– установите этот флаг, если вы хотите, чтобы при выборе пакета все
узлы в окне декодера автоматически разворачивались.
Разворачивать последние узлы
– установите этот флаг и укажите количество узлов, если вы хотите,
чтобы при выборе нового пакета из списка автоматически раскрывались
последние узлы окна декодирования, в соответствие с установленным
вами значением. По умолчанию раскрывается первый узел окна
декодирования. Если установлен флаг
Полностью разворачивать все узлы в окне декодера,
то эта опция не имеет значения.
Уровень развертывания
– установите число разворачиваемых уровней. Этот параметр указывает
"глубину" развертывания узлов дерева.
Декодировать до первого уровня в ASCII-экспорте
– этот флаг устанавливает формат, используемый при экспорте
лог-файла или отдельного пакета в виде текстового файла с
декодированием. Если флаг установлен, экспортируются только узлы
верхнего уровня. Например, при снятом флаге, экспорт
TCP/IP-пакета произойдёт с записью всех узлов "Тип сервиса". При
установленном флаге эти узлы не экспортируются. Таким образом,
можно получать менее детальные, но более компактные
файлы.
Игнорировать неверные контрольные суммы при реконструкции
TCP-сессий
– эта опция воздействует на то, как CommView воспринимает
повреждённые TCP/IP-пакеты при реконструкции TCP-сессии. По
умолчанию эта опция включена, и пакеты со сбойной контрольной
суммой не отбрасываются при реконструкции. Если опцию выключить,
пакеты со сбойной контрольной суммой будут отброшены и не попадут в
окно реконструкции. Вниманию пользователей сетевых адаптеров
Gigabit: все ваши исходящие пакеты будут содержать
неправильную контрольную сумму, если на адаптере присутствует
свойство "checksum offload" (аппаратный подсчёт). Если вы выключите
эту опцию, вы увидите только половину реконструированной
TCP-сессии. То же самое относится и к реконструкции локальных
(loopback) сессий, так как эти пакеты содержат нулевую контрольную
сумму.
Включать номера пакетов при реконструкции TCP-сессий
– установите этот флаг, если требуется, чтобы фрагментам данных в
окне реконструкции TCP-сессий предшествовали номера пакетов,
соответствующие этим фрагментам.
Искать начало сессии при реконструкции TCP-сессий
– если данный флаг установлен, программа попытается найти начало
восстанавливаемой TCP-сессии. Если флаг не установлен, то сессия
будет воссоздана только с выбранного пакета, т.е. все
предшествующие пакеты будут проигнорированы.
Декомпрессировать данные в формате GZIP -
установите этот флаг, если требуется распаковывать GZIP-содержимое
HTTP-трафика и выводить его в читаемом виде. Распаковка GZIP
происходит, только если в окне реконструкции выбран режим просмотра
"ASCII".
Реконструировать изображения –
установите этот флаг, если требуется, чтобы CommView конвертировал
двоичные данные HTTP-потоков, представляющие изображения, в сами
изображения в форматах JPG, BMP, PNG, и GIF в окне реконструкции.
Картинки отображаются, только если в окне реконструкции выбран
режим просмотра "HTML". Картинки
не
показываются в реконструируемых страницах HTML, так как они
передаются сервером в независимых HTTP-сессиях.
Использовать нотацию IPv4 в окончаниях IPv6-адресов
– если флаг не установлен, то IPv6-адреса будут показываться только
в шестнадцатеричном формате, например, fe80::02c0:26ff:fe2d:edb5.
Если флаг установлен, то последние 4 байта в IPv6-адресе
отображаются с использованием нотации IPv4, с точками:
fe80::02c0:26ff:254.45.237.181.
Пересобирать фрагментированные IP-пакеты
–
установите этот флаг, если вы хотите, чтобы программа пересобрала
фрагментированные IP-пакеты. По умолчанию, фрагментированные
IP-пакеты отображаются в их исходном виде, как они были получены.
Если эта опция включена, программа будет использовать внутренний
буфер для хранения фрагментов и попытается "склеить" их.
Отображаться будут только результаты успешной сборки.
Пытаться соотнести входящие UDP-пакеты с процессом
– поскольку
природа отображения входящих пакетов на процесс-собственник носит
вероятностный характер, то, по умолчанию, система отображения
программы не будет пытаться делать этого.
Логика изображения по умолчанию -
выберите режим отображения из выпадающего списка. Этот режим будет
установлен как "режим по умолчанию" для функции восстановления
TCP-сессий. Возможные значения - ASCII, HEX, HTML,
EBCDIC.
VoIP
|
|
|
|
Замечание.
Модуль анализа VoIP доступен только обладателям лицензии VoIP или
пользователям, работающим с ознакомительной версией с выбранной при
установке опцией VoIP.
|
|
|
|
|
|
|
|
|
|
Отключить анализ VoIP-данных
– отключить перехват и анализ данных VoIP. Выберите эту опцию, если
вы не планируете работать с VoIP и хотите минимизировать
потребление ресурсов компьютера.
Максимальное кол-во записей в списке
– ограничить количество отображаемых и обрабатываемых событий VoIP.
Когда количество записей превысит указанный лимит, более старые
записи будут удалены из списка.
Игнорировать потоки без сессии
– если опция активна, то анализатор VoIP будет игнорировать
перехваченные потоки RTP, у которых не будет "родительской" сессии.
Потоки RTP без сессии обычно возникают в том случае, если перехват
пакетов был включен уже в процессе звонка, сигнализирующий протокол
неизвестен приложению (т.е. это не SIP и не H.323) или передача
была произведена нестандартным образом (в зашифрованном виде или
как часть другой сессии). Такие потоки можно анализировать, а
иногда даже воспроизводить. За более подробной информацией о
проигрывании звонков VoIP обратитесь к главе
Воспроизведение
звонка.
Если потоки без сессии вам не интересны, и вы хотите сэкономить
ресурсы компьютера – отключите эту опцию. Помните, что если потоки
без сессии не игнорируются, анализатор VoIP может ошибочно принять
данные, переданные по протоколу UDP за потоки RTP. В целом это не
является ошибкой, поскольку пакеты RTP не имеют единой стандартной
структуры, так что ложные срабатывания в данном случае – нормальное
явление.
Геолокация
Геолокация – это определение страны по IP-адресу. Если опция
включена, CommView извлечет из внутренней базы данных информацию о
том, к какой стране принадлежит IP-адрес. Рядом с каждым IP-адресом
вы можете показывать
ISO-код страны,
Название страны
или
Флаг страны.
Вы также можете отключить геолокацию. Для некоторых IP-адресов
(например, зарезервированных вида 192.168.*.* или 10.*.*.*)
информация о стране предоставлена не будет. В этом случае имя
страны показано не будет, а если вы установили опцию
Показывать флаг страны,
будет показан флаг со знаком вопроса.
Поскольку местонахождение IP-адресов постоянно меняется, важно,
чтобы у вас всегда была последняя версия CommView. Обновления базы
данных включаются в каждую сборку CommView. Последняя версия базы
данных имеет точность порядка 98%. Без обновлений показатель
точности падает примерно на 15% каждый год.
Разное
Убирать кнопку программы с панели задач при сворачивании
– установите этот флаг, если не хотите видеть кнопку программы в
панеле задач Windows, когда вы минимизируете CommView. Если этот
флаг установлен, используйте значок программы в панеле уведомления
для восстановления после минимизации.
Разрешить запуск нескольких копий программы
– установите этот флаг, если нужно запускать несколько копий
программы для наблюдения за несколькими адаптерами
одновременно.
Спрашивать подтверждение при выходе из программы
– установите этот флаг, если хотите, чтобы программа запрашивала
подтверждение при выходе.
Автоматическая прокрутка окна данных пакета
– если этот флаг установлен, программа автоматически прокручивает
текст в окне данных пакетов (если только текст не помещается в
окне). Это полезно, когда вы хотите видеть содержимое большого
пакета без ручного прокручивания окна.
Автоматическая прокрутка списка пакетов до последнего пакета
– если этот флаг установлен, программа автоматически сортирует
новые записи в закладке
IP-статистика
в соответствии с заданными правилами сортировки (например, в
возрастающем порядке удалённых IP-адресов).
Автосортировка записей в текущих IP-соединениях
– если этот флаг установлен, программа автоматически прокручивает
пакеты в списке закладки
Пакеты
вниз, до последнего принятого.
Контроль загрузки CPU
– если флаг установлен, программа пытается снизить загрузку
процессора при обработке тяжёлого трафика. Это достигается
понижением частоты обновлений экрана и выведением на него меньшего
объёма информации.
Запуск программы при старте Windows
– если этот флаг установлен, программа автоматически запускается
при загрузке Windows. При работе под системами Windows Vista и
старше, установка этого флага не будет иметь эффекта, если в
системе включен User Account Control (UAC). Это ограничение Windows
Vista и более новых версий Windows, которое препятствует запуску
приложений с повышенными правами при загрузке ОС. Если опция
запуска приложения при старте Windows для вас важна, отключите
UAC.
Запуск в свернутом состоянии
– если этот флаг установлен, программа запускается
минимизированной, и главное окно не отображается, пока вы не
нажмёте на значок в панели уведомления или в панеле
задач.
Включить автоматическую проверку обновлений
– требуется задать интервал между проверками в днях.
Плагины
Эта закладка используется сторонними модулями для задания
конфигурации.
Подробнее…
Найти пакет
Этот диалог (Поиск
=> Найти пакет)
позволяет найти пакет, в котором содержится определенный текст.
Введите подстроку для поиска, выберите тип данных
(Строка
или
Hex)
и нажмите
Найти далее.
Программа найдет пакеты, удовлетворяющие критерию поиска и покажет
их в закладке
Пакеты.
Текст можно ввести как строку, шестнадцатеричное значение, MAC- или
IP-адрес. Hex-строка используется для ввода непечатаемых символов:
просто введите шестнадцатеричную строку, например,
AD0A027804.
Для регистрозависимого поиска установите флаг
С учетом регистра.
Для поиска строки, которая начинается с определенного смещения,
установите флаг
Со смещения (hex).
Помните, что смещение шестнадцатеричное и начинается с нуля (если
вы ищите первый байт пакета, то значение смещения равно
0).
|