Снифферы

Среднее окно отображает сырые данные пакета в шестнадцатеричном виде и как текст. В тексте точками заменяются непечатаемые символы.
Нижнее окно показывает декодированную информацию о выбранном пакете. Здесь приводятся ценные сведения для сетевых специалистов. Щелчок правой кнопкой мыши в панели вызывает контекстное меню, позволяющее открывать/закрывать узлы, копировать содержимое выбранного узла или всех узлов. Нажатием на одну из трёх кнопок на краю окна, можно менять его положение (расположить его внизу, справа или слева).
Команды контекстного меню.
Нажатие правой кнопки мышки на списке пакетов вызывает меню со следующими командами:
Reconstruct TCP Session – позволяет реконструировать TCP сессию, начиная с выделенного пакета; Открывается новое
окно, отображающее весь процесс переговоров двух хостов.
Create Alias -- открывает окно, где можно назначить легко запоминаемые имена (алиасы) выбранным MAC или IP адресам.
Copy Address – копирует локальный MAC или IP адрес, удалённый MAC или IP адрес в буфер обмена.
Copy Packet – копирует сырые данные пакета в буфер обмена.
Send Packet – открывает окно генератора пакетов и позволяет послать выбранный пакет ещё раз. Перед отправкой содержимое пакета можно изменить.
Save Packet(s) As – записывает содержимое выбранного пакета (одного или нескольких) в файл. Формат файла выбирается в выпадающем меню.
Clear Packet Buffer – сбрасывает программный буфер пакетов. Список пакетов очищается, и все накопленные к этому моменту пакеты стираются.
Decode As – (Декодировать как…) действует на TCP и UDP пакеты, позволяет декодировать известные программе протоколы, использующие в данный момент нестандартные номера портов. Например, если сервер SOCKS, вместо 1080, использует порт 333, можно выбрать пакет, принадлежащий сессии SOCKS, и зайдя в это меню, заставить CommView декодировать все пакеты порта 333 как SOCKS. Такое переназначение действует до перезапуска программы. ВНИМАНИЕ! Нельзя переназначить стандартные сочетания порт-протокол, то есть, Вы не сможете заставить CommView декодировать пакеты порта 80 как пакеты TELNET’а.

Кроме того, мышкой можно перемещать пакеты на десктоп или в любую папку.

Ведение Log-файлов.
Эта закладка предназначена для записи перехваченных пакетов в файл на диске. CommView сохраняет пакеты в файлы с расширением CCF (CommView Capture Files) в собственном формате. Вы можете в любое время загрузить и просмотреть эти файлы с помощью утилиты Log viewer, или просто дважды щёлкнув мышкой любой CCF файл в папке или на десктопе.
Правила (Rules).
Эта закладка позволяет устанавливать ограничения на перехват пакетов. Если какие либо правила установлены, то программа фильтрует пакеты и накапливает только те пакеты, которые соответствуют заданным критериям.
Обратите внимание, CommView не брандмауэр, и, когда Вы задаёте правила, пакеты продолжают обрабатываться операционной системой, они лишь не отображаются и не сохраняются программой. Название закладки выводится жирным шрифтом, если правила в ней установлены.
Используя команду Rules в меню, можно сохранять профили правил в файле и загружать их.
Так как сетевой трафик часто может создавать большое количество пакетов, рекомендуется использовать ограничения для отсеивания ненужных пакетов. Это может значительно снизить объём системных ресурсов, потребляемых программой. Если Вы хотите включить/выключить какое-либо правило, выберите соответствующую закладку с левой стороны окна [напр. IP Addresses (IP Адреса) или Ports (Порты)], и установите или снимите соответствующий флажок - Enable IP Address rules (Включить правило по IP адресу) или Enable port rules (Включить правило по портам). Существует семь типов правил:

1. Protocols & Directions (Протоколы и Направления).
Позволяет игнорировать или перехватывать пакеты, основываясь на Ethernet (Layer 2) и IP (Layer 3) протоколах, а также на направлениях.

В этом примере показано, как накапливать входящие и исходящие пакеты протоколов ICMP и UDP. Все остальные пакеты семейства IP, а также транзитные, будут проигнорированы.

2. MAC Addresses (MAC адреса).
Позволяет игнорировать или перехватывать пакеты, основываясь на MAC (аппаратных) адресах.
Введите MAC адрес в поле Add Record (Добавить запись), выберите направление From (От), To (К) или Both (В обе стороны), и нажмите Add MAC Address (Добавить MAC адрес) и новое правило будет отображено. Теперь надо выбрать действие, которое будет осуществлено, когда будет проходить соответствующий пакет: он может быть или захвачен или игнорирован.
Выбор MAC адреса можно упростить, нажав на кнопку MAC-алиасов. Появится список существующих имён, и, дважды щёлкнув по имени, Вы скопируете нужный адрес в поле ввода.

В этом примере показано, как игнорировать пакеты, идущие от 0A:DE:34:0F:23:3E. Пакеты с других MAC адресов будут накапливаться.

3. IP Addresses (IP адреса).
Позволяет игнорировать или перехватывать пакеты, основываясь на IP адресах.
Введите IP адрес в поле Add Record (Добавить запись), выберите направление From (От), To (К) или Both (В обе стороны), и нажмите Add IP Address (Добавить IP адрес) и новое правило будет отображено.
Теперь надо выбрать действие, которое будет осуществлено, когда будет проходить соответствующий пакет: он может быть или захвачен или игнорирован.
Выбор IP адреса можно упростить, нажав на кнопку IP-алиасов. Появится список существующих имён, и, дважды щёлкнув по имени, Вы скопируете нужный адрес в поле ввода.

В этом примере показано, как накапливать пакеты, идущие к 63.34.55.66, идущие к/от 207.25.16.11 и идущие со всех адресов в диапазоне 194.154.0.0 -:- 194.154.255.255. Все пакеты, идущие с/на другие адреса будут проигнорированы. Так как IP адреса используются в IP протоколе, эта конфигурация автоматически заставляет программу игнорировать все не-IPпакеты.

4. Ports (Порты).
Позволяет игнорировать или перехватывать пакеты, основываясь на номерах портов. Введите номер порта в поле Add Record (Добавить запись), выберите направление From (От), To (К) или Both (В обе стороны), и нажмите Add Port (Добавить порт) и новое правило будет отображено. Теперь надо выбрать действие, которое будет осуществлено, когда будет проходить соответствующий пакет: он может быть или захвачен или игнорирован.
Нажав на кнопку Port reference, можно увидеть список всех известных портов; дважды щёлкнув по порту мышкой, Вы добавите его в запись. Порты можно вводить по имени, например, http или pop3, и программа подставит его номер.

В этом примере показано, как игнорировать пакеты, идущие из порта 80 и идущие из/в порт 137. Это правило позволит CommView игнорировать входящий HTTP трафик наряду с входящим/исходящим NetBIOS Name Service трафиком. Пакеты, идущие из/в другие порты, будут накапливаться.

5. TCP Flags (TCP флаги).
Позволяет игнорировать или перехватывать пакеты, основываясь на TCP флагах. Выберите флаг или комбинацию флагов в поле Add Record (Добавить запись), и нажмите Add Flags (Добавить флаги) и новое правило будет отображено.
Теперь надо выбрать действие, которое будет осуществлено, когда будет проходить пакет с соответствующим(и) флагом(ами): он может быть или захвачен или игнорирован.

В этом примере показано, как игнорировать TCP пакеты с установленным PSH ACK флагом. Пакеты с другими флагами будут накапливаться.

6. Text (Текст).
Позволяет ловить пакеты, содержащие определённый текст. Введите строку в поле Add Record (Добавить запись), выберите тип As String (Как текст) или As Hex (Шестнадцатеричная величина), и нажмите Add Text (Добавить текст) и новое правило будет отображено.
Теперь надо выбрать действие, которое будет осуществлено, когда будет проходить соответствующий пакет: он может быть или захвачен или игнорирован. Шестнадцатеричные величины разделять в образце пробелами.

В этом примере показано, как собирать только пакеты, содержащие или текст "GET" или 01 02 03 04 шестнадцатеричные данные. При необходимости, установите флажок Case sensitive (С учётом регистра).

7. Advanced (Составные).
Составные правила являются мощным и гибким механизмом создания фильтров с помощью Булевой логики.

Чтобы создать новое правило, задайте ему имя в поле Name, выберите действие (Capture(Сбор)/Ignore(Пропуск)), в поле Formula задайте формулу, пользуясь синтаксисом, описанным ниже, и нажмите Add(Добавить)/Edit(Редактировать). Новое правило будет добавлено и немедленно активизировано.
Неограниченное количество правил может быть задано, но активизированы только те из них, которые помечены галочкой в колонке имён.

Любое правило можно включить/выключить, воздействуя на соответствующий флажок, или совсем удалить с помощью кнопки Delete. Если включены сразу несколько правил, их совместное ограничение можно оценить, нажав на кнопку Evaluate. Обратите внимание, что отдельные правила объединяются в составное логическим оператором ИЛИ.
Можно пользоваться составными правилами совместно с обычными, описанными в предыдущей главе, однако, если Вы владеете Булевой логикой, рекомендуем пользоваться в основном составными, так как они более гибки. Обычные правила объединяются с составными по логическому оператору И.

Описание синтаксиса:
dir – Направ

1 2 3 4 5 След.

скачать работу

Отправка СМС бесплатно