Home
Contents

CommView - Мониторинг и анализ сети
Prev Page Next Page
 
Введение
О программе CommView
Что нового
Работа с программой
Краткий обзор
Выбор сетевого адаптера для работы
Текущие IP-соединения
Пакеты
Log-файлы
Просмотр Log-файлов
Правила
Универсальные правила
Предупреждения
Реконструкция TCP-сессий
Реконструкция UDP-потоков
Поиск пакетов
Статистика и отчёты
Использование псевдонимов (алиасов)
Генератор пакетов
Визуальный конструктор пакетов
Определение изготовителя NIC
Захват по расписанию
Удаленный мониторинг (Remote Agent)
Использование RPCAP
Сбор расшифрованного SSL-трафика
Сбор трафика на логическом адаптере обратной связи (loopback)
Информация о портах
Установка опций
Часто задаваемые вопросы (FAQ)
Анализ VoIP
Введение
Работа с анализатором VoIP
Сессии SIP and H.323
Потоки RTP
Регистрации
Станции
Ошибки
Log-файлы звонков
Отчет
Воспроизведение звонка
Просмотр VoIP log-файлов
Работа со списками в анализаторе VoIP
Файлы NVF
Дополнительные возможности
Перехват больших объемов трафика
Запуск нескольких копий программы
Невидимый режим
Параметры командной строки
Обмен данными с вашим приложением
Пользовательский модуль декодирования
Формат Log-файлов CommView
Покупка и поддержка

Реконструкция TCP-сессий

С помощью этой утилиты можно просмотреть процесс обмена между двумя хостами по TCP.  Чтобы восстановить TCP- сессию, необходимо сначала выбрать пакет TCP в закладке Пакеты. В зависимости от установок (Искать начало сессии при реконструкции TCP-сессий в меню Настройка => Установки => Декодер), сессия будет восстановлена начиная с выбранного пакета, который может оказаться в середине сессии, либо с ее начала. Найдя и выбрав нужный пакет, щёлкните правой кнопкой мышки на нём, в появившемся меню выберите Реконструкция TCP-сессии, как показано здесь:

tcpsessions

Процесс восстановления лучше всего работает для текстовых протоколов, таких как POP3, Telnet, или HTTP. Возможно также восстановление процесса пересылки большого ZIP-архива, но на обработку нескольких мегабайт данных CommView потребуется слишком много времени. Кроме того, в большинстве случаев полученная информация будет бесполезна. В закладке Содержимое показаны фактические данные по сессии, а в закладке Анализ TCP-сессии показан поток реконструированной TCP-сессии.

Ниже показан пример реконструкции HTTP-сессии, содержащей данные HTML, в режимах ASCII и HTML соответственно:

tcpsessions

tcpsessions

В режиме отображения HTML гипертекстовые страницы не содержат графических объектов, поскольку в рамках протокола HTTP изображения передаются отдельно. Для просмотра изображений обычно требуется перейти к следующей TCP-сессии. Ниже приведён пример HTTP-сессии, содержащей графические объекты, которые отображаются гипертекстовом режиме:

tcpsessions

По умолчанию, CommView разархивирует web-трафик, сжатый с помощью GZIP, и восстанавливает изображения из бинарных потоков данных. Чтобы выключить эти опции, воспользуйтесь закладкой Декодер.

Можно игнорировать данные из определенного источника, установив соответствующий флажок в нижней части окна. Для удобства входящие и исходящие данные помечены разным цветом. Если вы хотите изменить цветовую гамму, выберите Установки => Цвета и воспользуйтесь палитрой. Можно включить или выключить перенос слов: Установки => Перенос по словам.

Выпадающее меню Логика отображения позволяет просматривать выбрать режимы просмотра ASCII (обычный текст), HEX (шестнадцатеричные данные), HTML (web-документы и картинки), EBCDIC (кодировка, используемая в мейнфреймах IBM) и UTF-8 (юникод). Учтите, что результаты просмотра данных в режиме HTML могут выглядеть несколько иначе, чем при просмотре настоящим браузером (вы не увидите графические объекты и т. п.), однако вполне можно представить, как выглядела данная страница на самом деле.

Выбрать вид отображения по умолчанию можно в закладке Декодер.

Кнопки навигации позволяют осуществлять переход между предыдущей и последующей TCP-сессиями. Первая кнопка "вперёд" [>>] перейдёт к следующей сессии между теми же хостами, что и при первом вызове реконструкции. Вторая кнопка "вперёд" [>>>] перейдёт к следующей сессии между любыми двумя хостами. Если в буфере несколько сессий, рекомендуется начинать реконструкцию с самой первой, так как кнопка возврата [<<] не сможет перейти на сессию, предшествующую той, с которой началась реконструкция.

Полученные данные вы можете записать на диск в двоичном виде, в текстовом или RTF-формате, выбрав Файл =>  Сохранить как…. Кроме того, выбрав Редактировать => Найти…, можно выполнить поиск строки в пределах текущей сессии.

Анализ сессий

В закладке Анализ TCP-сессии окна TCP-сессия показывается восстановленная TCP-сессия в графическом виде. Здесь вы увидите потоки данных в этой сессии, ошибки, задержки и факты повторной передачи потерявшейся информации.

Для каждого пакета сессии показана следующая информация:

·Флаги TCP.

·Абсолютные и относительные значения SEQ и ACK.

·Время прибытия пакета.

·Временной интервал между текущим и предыдущим пакетами.

·Номер пакета в восстановленной сессии.

Если пакет содержит ошибки, то будет показано текстовое описание этих ошибок справа от картинки. Когда вы наведете курсор мыши на пакет, во всплывающем окне будет показано его содержимое при условии, что пакет содержит данные. Помните, что в поле Логика отображения задается способ декодирования данных во всплывающем окне. Пример окна анализа TCP-сессии показан ниже.

tcpsessions

В правой панели показана основная статистика для данной сессии:

Время соединения – время, затраченное на установление TCP-соединения. Иными словами, это время трехстороннего обмена по TCP (SYN => SYN ACK => ACK).

Время ответа сервера – время с момента начального запроса клиента до первого отклика сервера.

Время передачи данных – время между первым и последним ответом сервера (0 в том случае, если был всего один ответ от сервера).

Вы можете сохранить графическое представление восстановленной TCP-сессии в файлы BMP, GIF или PNG, кликнув по рисунку правой кнопкой мыши и выбрав в контекстном меню Сохранить изображение как… . Сессия с большим количеством пакетов будет разбита на несколько файлов.