64 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Используем tcpdump для анализа и перехвата сетевого трафика

tcpdump

Утилита tcpdump относится к числу так называемых «снифферов» — программ предназначенных для перехвата сетевого трафика. Одним словом, tcpdump предназначен для подслушивания. Разрабо­тан Группой сетевых исследований (Network Reseach Group, NRG) Отдела инфор­мационных и вычислительных технологий (Information and Computing Sciences Division, ICSD) в Национальной лаборатории Лоренс Беркли (Lawrence Berkeley National Laboratory, LBNL).

tcpdump не единственный Сетевые анализаторы снифферы, которым может пользоваться администратор. Кроме tcpdump можно обратить внимание на такие программы, как:

tcpdump работает при помощи интерфейса bpf (Berkeley Packet Filter). Если поддержку этого устройства отключить, сниффинг в BSD окажется невозможен. Права на запуск программы tcpdump определяются правами доступа к устройсву bpf (/dev/bpf0). Эти права можно регулировать через devfs. Если вы предоставляете, например, группе operator права на чтение из этого устройства, то это значит, что все члены этой группы смогут перехватывать любой трафик, в том числе трафик суперпользователя.

Если программа tcpdump вызвана для прослушивания некоторого интерфейса, она переводит его в «promiscuous mode» — «неразборчивый режим». В этом режиме интерфейс ловит вообще все пакеты, которые до него добрались, а не только пакеты адресованные непосредственно ему. Таким образом, если сеть собрана не на коммураторах (switch), а на репитерах (hub), то tcpdump позволит перехватить трафик между посторонними машинами, т.е. подслушать разговор двух сторонних машин. Сказанное не означает, что перехват трафика невозможен в сети собранной на коммутаторах. Впрочем, интерфейс можно и не переводить в promiscous mode, если передать программе аргумент -p.

tcpdump для VoIP SIP H.323

Анализирует траффик удаленно через SSH с помощью Wireshark

UDP трафик с и на IP xxx.xxx.xxx.251 destined for port 5060:

Записать в файл mbill251 весь трафик с хоста xxx.xxx.xxx.251 за исключением трафика ssh

Прослушать порт 5060 с ip xxx.xxx.xxx.251

H.323 сигналинг ловим с двух IP. В таком виде с двух IP отказалось снимать, может быть OR нужно было поставить.

tcpdump Packet Filter Firewall (PF)

Примеры использования tcpdump

перечислить доступные интерфейсы (которые можно прослушивать при помощи опции -i)

посмотреть трафик одного хоста:

посмотреть трафик на порте:

посмотреть IP трафик на хост:

посмотреть ARP трафик на хост:

посмотреть RARP трафик на хост:

посмотреть трафик, кроме хоста unixserver:

посмотреть трафик на server1 и server2

посмотреть содержимое пакетов на интерфейсе tun0 на хост ya.ru

подсмотреть номера и пароли к icq

посмотреть содержимое пакетов на интерфейсе tun0 на хост ya.ru, при этом прочитать из каждого пакета по 1500 байт и не преобразовывать IP в имя хоста

Примеры использования tcpdump AND OR EXCEPT

TCP traffic from 10.5.2.3 destined for port 3389:

Traffic originating from the 192.168 network headed for the 10 or 172.16 networks:

Non-ICMP traffic destined for 192.168.0.2 from the 172.16 network:

Проблема +arplookup 0.0.0.0 failed: host is not on local network

Лечение: запускаем команду и ищем MAC c ошибкой

arpdig – dig an interface for arp responses. Выводит соответствие между IP и MAC. Пример использования:

gratuitous arp — самообращенные запросы. При таком запросе инициатор формирует пакет, где в качестве IP используется его собственный адрес.

Wireshark: Packet size limited during capture

Файлы tcpdump совместимы с Wireshark. Запуская ее с параметром -w filename, мы получаем файл, содержащий нужный нам сетевой трафик. К сожалению, по умолчанию в tcpdump каждый пакет ограничивается 96ю байтами (которых, как правило, достаточно для анализа любых пакетов). Однако если нужно залезть глубже и смотреть всё содержимое пакетов, нужно использовать команду -s size (где size — размер пакетов, которые нужно ловить). Для обычного ethernet'а размер пакетов равен 1500, для "разогнанного" гигабитного etherneta — порой до 65к.

Итого, имеем следующую команду:

И используем ее для того, чтобы можно было создать полный дамп сетевого трафика, который можно смотреть в Wireshark без сообщений вида Packet size limited during capture

Как я могу захватить сетевой трафик одного процесса?

Я хотел бы изучить сетевой трафик, обрабатываемый одним процессом, но простой захват сети не будет работать, поскольку я имею дело с такой загруженной системой (много другого трафика происходит одновременно). Есть ли способ изолировать tcpdump или wireshark захватить сетевой трафик одного конкретного процесса? (Использование netstat недостаточно.)

Действительно есть способ, используя фильтры Wireshark . Но вы не можете фильтровать напрямую по имени процесса или PID (потому что они не являются сетевыми величинами).

Сначала вы должны выяснить протоколы и порты, используемые вашим процессом (команда netstat в предыдущем комментарии работает хорошо).

Читайте так же:
Как активировать цифровой ключ от игры в Origin?

Затем используйте Wireshark, чтобы отфильтровать входящий (или исходящий) порт с тем, который вы только что получили. Это должно изолировать входящий и исходящий трафик вашего процесса.

Чтобы запустить и контролировать новый процесс:

Для мониторинга существующего процесса с известным PID:

  • -f для «следить за новыми процессами»
  • -e определяет фильтр
  • -s устанавливает предел строк более 32
  • -p принимает идентификатор процесса для подключения к

Я знаю, что эта ветка немного старая, но я думаю, что это может помочь некоторым из вас:

Если ваше ядро ​​позволяет это сделать, захват сетевого трафика одного процесса очень легко выполнить, запустив указанный процесс в изолированном сетевом пространстве имен и используя wireshark (или другие стандартные сетевые инструменты) в указанном пространстве имен.

Настройка может показаться немного сложной, но как только вы поймете ее и познакомитесь с ней, она значительно облегчит вашу работу.

Чтобы сделать так:

создать тестовое сетевое пространство имен:

создайте пару виртуальных сетевых интерфейсов (veth-a и veth-b):

изменить активное пространство имен интерфейса veth-a:

настройте IP-адреса виртуальных интерфейсов:

настройте маршрутизацию в тестовом пространстве имен:

активируйте ip_forward и установите правило NAT для пересылки трафика, поступающего из созданного вами пространства имен (необходимо настроить сетевой интерфейс и IP-адрес SNAT):

(Вы также можете использовать правило MASQUERADE, если хотите)

наконец, вы можете запустить процесс, который вы хотите проанализировать, в новом пространстве имен, а также wireshark:

Вам придется следить за интерфейсом veth-a.

Это покажет соединения, которые устанавливает приложение, включая используемый порт.

Просто идея: возможно ли привязать ваше приложение к другому IP-адресу? Если это так, вы можете использовать обычные подозреваемые ( tcpdump и т. Д.)

Инструменты для приложений, которые не способны связываться с другим IP-адресом:

fixsrcip представляет собой инструмент для привязки исходящих клиентских сокетов TCP и UDP ( IPv4 ) к определенным исходным IP-адресам на многодомных хостах

force_bind позволяет принудительно связать конкретный IP и / или порт. Работает как с IPv4, так и с IPv6 .

Я пришел к аналогичной проблеме, и мне удалось разобраться на основе этого ответа по ioerror , используя NFLOG, как описано здесь :

Затем вы можете создать соответствующий процесс из учетной записи пользователя, которая больше ничего не делает — и вуаля, вы только что изолировали и захватили трафик из одного процесса.

Просто хотел отправить обратно на случай, если это кому-нибудь поможет.

Я написал приложение на C, которое делает то, что описано в прекрасном ответе выше felahdab!

Это грязный хак, но я бы предложил либо переадресацию, либо цель регистрации с iptables для данного UID. например:

Также может быть полезно рассмотреть что-то вроде ‘—log-tcp-sequence’, ‘—log-tcp-options’, ‘—log-ip-options’, ‘—log-uid’ для этой цели журнала. , Хотя я подозреваю, что это только поможет вам опубликовать процесс обработки pcap, который содержит массу других данных.

Цель NFLOG может быть полезна, если вы хотите пометить пакеты, а затем определенные помеченные пакеты будут отправлены через сокет netlink в процесс по вашему выбору. Интересно, будет ли это полезно для взлома чего-нибудь с wireshark и вашим конкретным приложением, работающим от имени конкретного пользователя?

Он делает именно то, что вы хотите, вы можете дать ему идентификатор процесса или программу для запуска.

Попробуйте запустить интересующий вас процесс под strace :

Это даст вам очень подробную информацию о том, что делает ваш процесс. Поскольку процесс может открывать любые порты в любом месте, используя предопределенный фильтр, вы можете что-то пропустить.

Другой подход заключается в том, чтобы использовать урезанную виртуальную машину или тестовую машину в вашей сети и поместить в нее процесс отдельно. Тогда вы можете просто использовать Wireshark, чтобы поймать все с этой машины. Вы будете уверены, что трафик, который вы захватываете, будет релевантным.

Опираясь на ответ ioerror, я подозреваю, что вы можете использовать iptables —uid-owner для установки маркера трафика, а затем попросить wireshark захватывать только трафик с этим маркером. Возможно, вы сможете использовать DSCP (маркер дифференциальных услуг), идентификатор потока или маркер qos.

Или действительно вы можете использовать это для отправки этих пакетов через другой интерфейс, а затем захватывать только на этом интерфейсе.

Теоретические сведения

При получении пакета маршрутизатор уменьшает его TTL на 1. Если TTL становится равным 0, пакет уничтожается, а его отправителю посылается пакет ICMP Time Exceeded.

  • RTT (round-trip time) — время, затраченное на отправку пакета + время, которое требуется для подтверждения, что пакет был получен.

Инструменты для анализа сетевого трафика

Утилита Ping

Ping — утилита для проверки целостности и качества соединений в сетях на основе TCP/IP. В работе использует протокол ICMP.

Читайте так же:
Регистрация в Твиттере

ICMP (Internet Control Message Protocol) — протокол сетевого уровня, в основном используемый для передачи сообщений об ошибках.

Утилита Ping отправляет интересующему узлу пакеты ICMP Echo-Request и фиксирует поступление ответов ICMP Echo-Reply.

Пример работы

Пример работы утилиты Ping

В примере выше отправлены 8 пакетов (желаемое количество пакетов задается флагом -t) на домен google.com. Утилита определили соответствующий домену IP адрес и отправила на него заданное количество пакетов.

В результате утилита вывела следующую информацию по каждому отправленному пакету:

  • номер пакета,
  • TTL пакета на момент его получения,
  • RTT пакета.

Также вывод содержит информацию о том, сколько пакетов ICMP Echo-Reply в итоге было получено, процент потерянной информации, минимальное, максимальное и среднее значение RTT и величину среднеквадратического отклонения для RTT.

Traceroute

Traceroute (Tracert в Windows) — утилита, используемая для определения маршрутов следования данных в сетях TCP/IP. В работе может использовать различные протоколы (TCP, UDP, ICMP).

Принцип работы

  1. На целевой хост отправляется серия пакетов (обычно, 3) с TTL = 1.
  2. Первый маршрутизатор, который встретится на пути каждого отправленного пакета, уменьшит TTL на 1. TTL станет равным 0.
  3. Маршрутизатор отправит источнику сообщение о том, что пакет не может быть передан далее (сообщая источнику свой IP адрес).
  4. На целевой хост отправляется серия пакетов с TTL = 2.

Пример работы

Пример работы Traceroute

При вызове Traceroute для домена также будет показан IP адрес, TTL и вес пакетов. Для каждого из маршрутизаторов, встретившихся на пути пакетов, указывается

  • Доменное имя, если его удалось получить
  • IP адрес (или адреса, если разные пакеты серии пришли на разные маршрутизаторы)
  • Время доставки для каждого из пакетов

Также вместо информации по одному или нескольким пакетам может быть показан символ «*». Это означает, чтобы тем или иным причинам отправитель не получил от этого маршрутизатора ICMP Time Exceeded.

Часть возможных причин указана на странице справки traceroute:

Справка traceroute

Netcat

Netcat (nc, ncat) — утилита, позволяющая устанавливать TCP и UDP соединения, принимать и передавать данные. Основные режимы: подключения и прослушивания.

Режим подключения позволяет подключиться к любому порту, открытому на прослушивание (при условии, что порт разрешает подключения такого типа).

Пример работы nc

На примере с помощью nc осуществляется подключение к google.com: при вводе nc google.com 80 утилита подключается к серверной стороне по протоколу HTTP (80 — стандартный порт для этого протокола). Далее клиент отправляет на сервер простейший HTTP-запрос «GET /», в ответ получает соответствующую веб-страницу, которая отображается в терминале в необработанном виде.

Режим прослушивания позволяет открыть на прослушивание сокет на хосте с запущенной утилитой (поставив ему в соответствие порт, к которому смогут обращаться другие приложения). С помощью этого режима можно сделать подобие чата между двумя хостами (например, для передачи данных между двумя виртуальными машинами). Ссылка на демонстрацию приведена в конце статьи.

Netstat

Netstat (Network Statistics) — утилита, позволяющая получить информацию о состоянии TCP-соединений (входящих и исходящих), таблицах маршрутизации, сетевых интерфейсах, сетевой статистике по протоколам.

Для различных ОС реализации данной утилиты отличаются, одни и те же параметры могут отвечать за разные функции. Сводная таблица по ключам есть на английской странице Википедии по Netstat (ссылка приведена в конце статьи).

Ниже — примеры, которые будут работать на большинстве UNIX-систем.

Примеры работы

Снимок экрана 2021-04-04 в 19.44.29.png

  • -l — выводит информацию о состоянии всех открытых веб-сокетов (в состоянии LISTEN). По каждому сокету отображается информация о соответствующем ему порте. netstat -lt выведет информацию только о TCP-портах, netstat -lu — только о UDP-портах, netstat -lx — о UNIX-сокетах. Флаги t, u, x можно комбинировать между собой и добавлять ко всем флагам идущим ниже, получая соответствующую фильтрацию.
  • -p — добавить в вывод PID и имя процесса, работающего на конкретном порту
  • -n — отображать адреса и номера портов в числовом формате

netstat -i

  • -i — информация о сетевых интерфейсах
  • -ie — расширенная информация, аналог ifconfig

Tcpdump

Tcpdump — утилита, позволяющая перехватывать и анализировать сетевой трафик хоста, на котором запущена данная утилита. Также возможен анализ трафика, записанного в файл (*.pcap)

tcpdump

В данном примере используются следующие флаги:

  • -i — перехватывать только пакеты с определенного сетевого интерфейса
  • -с — только заданное количество пакетов
  • -n — отображение в числовом формате
  • -tttt — timestamp-ы в формате дата + время
  • Если требуется собирать трафик, идущий на конкретный порт, его можно задать с помощью настройки port.

Также Tcpdump позволяет задавать множество других настроек: IP-адреса хостов, отправляющих и получающих трафик, конкретные протоколы, параметры пакетов и т.п.

Wireshark

Wireshark — программа для анализа сетевого трафика. По функциональности она аналогична Tcpdump, но имеет графический интерфейс и более широкий спектр возможностей. Также Wireshark поддерживает расширения, написанные на языке Lua.

Читайте так же:
Инструкция — как делать репост в Фейсбук

Примеры работы

Wireshark также позволяет анализировать как получаемый в режиме реального времени, так и записанный в файл трафик.

Трафик можно собирать с использованием фильтров, можно выбрать уже готовый вариант или задать свой. На этом же окне Wireshark показывает, на каких интерфейсах есть сетевая активность.

Пример записи трафика в Wireshark

Wireshark способен определить большинство существующих сетевых протоколов и предоставляет информацию для каждого пакета по всем доступным протоколам с учетом инкапсуляции.

Трафик Wireshark

Также можно просматривать данные не по отдельным пакетам, а целыми стримами (красным обозначаются запросы клиента, синим — ответы сервера). Можно также искать в потоке определенное содержимое, исключать конкретные потоки из общего отображаемого трафика и сохранять содержимое потоков в виде текстовых файлов, в бинарном виде и в других форматах.

Перенаправление сетевого трафика

Какой самый простой способ сделать это с помощью java ?

файл hosts на windows-это NOT! вариант

EDIT: Ip 1.1.1.1: 2222-это extenal IP (сервер, которым я не владею). Поэтому я не могу создать простой сокет-сервер для перенаправления трафика. Я должен как-то изменить направление пакета

Также обратите внимание, что это часть OUTGOING, которую я хочу перенаправить. Быстрый пример: если я попрошу www.google.dk, то получу facebook

Это должно быть сделано с java.

2 ответа

  • Selenium-ожидание сетевого трафика

Мы используем Selenium с Java API и некоторыми пользовательскими расширениями Javascript. Мы используем много звонков AJAX в нашем приложении. Многие наши тесты терпят неудачу случайным образом, потому что иногда вызовы AJAX заканчиваются медленнее, чем в других случаях, поэтому страница.

Есть ли какой-нибудь способ получить историю использования сетевого трафика/данных по дням ? (Меня не интересует живое отслеживание) EXAMPLE: запустите приложение (APK), найдите журнал сетевого трафика 30 дней назад и отобразите общее количество байтов. Класс TrafficStats может возвращать.

Вы не можете делать такие вещи в Java. Действительно, вы, как правило, вообще не можете делать это в приложениях пользовательского пространства.

Если вы используете платформу Linux, вы потенциально можете настроить iptables для перехвата исходящих пакетов заданного типа, предназначенных для определенного адреса / порта IP, и переписать адрес назначения IP. Однако на самом деле это проблема системного / сетевого администрирования, а не проблема программирования.

Как вы можете себе представить, существуют всевозможные неприятные вещи, которые вы могли бы сделать, если непривилегированное приложение может привести к перенаправлению трафика. Вам нужна привилегия root на Linux, чтобы изменить конфигурацию iptables.

Это должно быть сделано с java.

Ну, если вы не спрашиваете о том , что приложение перенаправляет свои собственные запросы, это не может быть сделано в Java / из Java.

(В исключительном случае вы потенциально можете сделать это, реализовав пользовательскую фабрику сокетов, которая открывает соединения в другом месте, чем запрашивают более высокие уровни кода приложения. Однако я не думаю, что это то, о чем вы просите.)

Я думаю, что это может быть легко реализовано с помощью сокетов, в основном:

  1. Открыть ServerSocket на 1.1.1.1:2222
  2. Откройте сокет на 2.2.2.2:3333
  3. Перенаправьте outputStream первого во входной поток второго и наоборот

У вас есть пример здесь

Похожие вопросы:

Есть ли какой-нибудь способ на Linux получить подробный анализ сетевого трафика в процесс и из него? Детальный анализ означает данные, предоставленные tcpdump, wireshark.

Я заинтересован в захвате сетевого трафика с определенного компьютера. Меня интересует только захват трафика с компьютера, на котором установлено мое приложение (например, Fiddler). Как и Fiddler, я.

Я заинтересован в измерении сетевого трафика для моего приложения. В идеале мне нужно было бы отделить беспроводной трафик от сетевого трафика 3G. Кажется, я не могу найти ни одного API, который.

Мы используем Selenium с Java API и некоторыми пользовательскими расширениями Javascript. Мы используем много звонков AJAX в нашем приложении. Многие наши тесты терпят неудачу случайным образом.

Есть ли какой-нибудь способ получить историю использования сетевого трафика/данных по дням ? (Меня не интересует живое отслеживание) EXAMPLE: запустите приложение (APK), найдите журнал сетевого.

На моем компьютере есть порты 3G, Wifi и LAN. Я хотел бы построить программное обеспечение linux, чтобы показать зеленый цвет, если есть сетевой трафик, и красный цвет, если нет сетевого трафика.

Есть ли родной android Api для мониторинга сетевого трафика и, возможно, его ограничения ? Я наткнулся на TrafficStats, но не думаю, что он предоставляет метод сброса пакетов и анализа их позже или.

Протокол OpenFlow (1.0 и 1.1) не определяет никакого механизма шифрования сетевого трафика (трафика между коммутаторами).. Возможно ли шифровать сетевой трафик в сетях SDN.. (например, запустить.

Читайте так же:
Почему не открывается документ Microsoft Word

Как контроль сетевого трафика, используя python?

Я хочу рассчитать количество статистики использования сети/сетевого трафика для моего приложения за месяц. Я могу использовать TrafficStats для получения статистики сетевого трафика, но статистика.

Ответы на вопросы (FAQ)

В. Может ли CommView быть использован для перехвата dial-up (RAS) трафика?

В. Что может «видеть» CommView, которая инсталлирована на компьютер с локальной сетью?

О. CommView переводит сетевой адаптер во «всеядный» (promiscuous) режим, что позволяет перехватывать весь трафик в локальном сегменте сети. Другими словами, он перехватывает и анализирует пакеты, адресованные любому компьютеру сегмента, а не только к компьютеру, на котором запущена программа. Есть ограничения при использовании с Wireless Ethernet-адаптером (CommView будет перехватывать только входящие и исходящие пакеты с вашего компьютера, т. е. транзитные пакеты отображаться не будут), и при работе через switch (см. вопрос о switch ниже в FAQ) .

В. Я подключен к LAN через switch и, когда я запускаю CommView, он ловит только пакеты, идущие к/от меня, я не вижу трафика других машин. Почему?

О. В отличие от hub-ов, switch препятствует подслушиванию. В такой ситуации CommView (как и любой другой анализатор) ограничен приёмом broadcast и multicast пакетов, а также трафика того компьютера, на котором он запущен. Однако современные switch имеют функцию «port mirroring», что позволяет сконфигурировать их так, чтобы они перенаправляли трафик на некоторых или всех портах на специальный мониторный порт. Это позволит наблюдать трафик всего сегмента сети. На сайте доступна статья , в которой этот вопрос раскрыт подробно.

В. Я подключен к сети через hub, но не вижу чужого трафика, как если бы это был switch. Почему?

О. Возможны две причины: или это действительно switch, маркированный как hub (некоторые изготовители, например, Linksys иногда так поступают), или у вас многоскоростной hub, в этом случае вы не увидите трафик других станций, работающих на скоростях, отличающихся от скорости вашего адаптера (то есть, если у вас 10 Mbit-адаптер, вы не сможете увидеть трафик машин со 100 Mbit-адаптерами).

В. Моя домашняя сеть подключена к интернету через широкополосный маршрутизатор, и я вижу только свой собственный трафик. Можно ли наблюдать трафик остальных машин моей сети?

О. Да. Существует несколько способов решить эту задачу. За более подробной информацией и примерами конфигурации сети обратитесь к нашей статье .

В. Может ли CommView собирать данные на адаптере, который не имеет своего IP-адреса?

О. Да. Фактически, сетевой адаптер может быть даже не привязан ни к TCP/IP, ни к какому либо другому протоколу. При отладке сети вам может понадобиться подключить компьютер с CommView в свободный порт хаба. В этом случае вам необязательно знать, какие IP-адреса свободны в данном сегменте, просто снимите привязку адаптера к протоколу TCP/IP и начните перехват пакетов. В Control Panel => Network Connections щёлкните правой кнопкой на иконке соединения, выберите Properties и снимите метки с соответствующих протоколов, которые вы не хотите «привязывать» к NIC.

В. Я работаю в локальной сети с большим объемом трафика, и поэтому мне сложно изучать отдельные пакеты, когда программа принимает сотни и тысячи пакетов в секунду, и старые пакеты быстро исчезают из циркулярного буфера. Можно с этим что-нибудь сделать?

О. Да, нажмите кнопку Открыть текущий буфер в новом окне в нижней панели инструментов в закладке Пакеты . Таким образом вы сможете создавать копии окна в любой момент времени, с любым интервалом и изучать пакеты не торопясь.

В. Я запустил программу и нажал «Начать захват», но пакеты не отображаются. Почему?

О. Возможны две причины: вы выбрали неактивное сетевое устройство или ошиблись, устанавливая правила перехвата. Попробуйте выключить правила и посмотрите, что происходит. В любом случае, даже когда они включены, строка состояния программы будет отображать общее количество пакетов, так что посмотрите сначала туда.

В. Я заметил, что контрольные суммы исходящих пакетов IP/TCP/UDP неверные. Почему?

О. Gigabit-овые сетевые адаптеры имеют способность, называемую TCP/UDP/IP «checksum offload», она позволяет адаптеру вычислять контрольную сумму аппаратно, освобождая от этой работы процессор. CommView перехватывает пакеты до того, как они попадают в адаптер, поэтому он выдает неверную контрольную сумму. Это нормальное явление и может повлиять только на процесс реконструкции TCP-сессии, причем только в том случае, если выключена опция «Игнорировать некорректные контрольные суммы» (подробнее смотрите здесь ).

В. Работает ли CommView на многопроцессорных системах?

В. Похоже, невозможно сохранить более 5000 пакетов из пакетного буфера. Есть ли способ решить эту проблему?

Читайте так же:
Как можно изменить папку Загрузок в Windows 10

О. На самом деле такого ограничения нет. Для сохранения перехваченных пакетов в программе используется кольцевой (циркулярный) буфер. По умолчанию в буфере может содержаться до 5000 пакетов, но это значение можно поменять в окне Установки . Максимальный размер буфера составляет 20000 пакетов (буфер не может быть бесконечным по очевидным причинам – объем оперативной памяти на вашем компьютере тоже не бесконечен). Вы можете записать содержимое буфера в файл из закладки Log-файлы . Тем не менее, данное ограничение на размер буфера ни коим образом не ограничивает ваши возможности по сохранению любого количества пакетов. Вам всего лишь следует включить опцию автосохранения на данной закладке. Таким образом, программа будет непрерывно записывать в файл(ы) все перехваченные пакеты, и вы сможете установить любое ограничение на объем перехваченных данных.

В. Я подключен к сети через cable/xDSL-модем. Будет ли CommView осуществлять мониторинг трафика в этом случае?

О. Если модем поддерживает оба интерфейса USB и Ethernet, и вы можете подключить его к сетевому адаптеру Ethernet, CommView сможет наблюдать сетевой трафик. Если на модеме есть только USB-интерфейс, то можно, по крайней мере, попробовать.

В. Во время использования CommView мой файрволл сообщает, что CommView «пытается получить доступ в Internet». Я знаю, что некоторые сайты способны отслеживать пользователей, собирая информацию, посылаемую их программами через интернет. Зачем CommView пытается получить доступ в интернет?

О. Ваш файрволл могут заставить сработать 3 события. Во-первых, может иметь место попытка преобразования IP-адресов в имена хостов. Поскольку CommView обращается к вашим DNS-серверам для выполнения DNS-запроса, неизбежно возникнет предупреждение со стороны файрволла. Вы можете это отключить ( Настройка=>Установки=>Отключить распознавание DNS ), но в этом случае в окне последних соединений не будут показаны имена хостов. Во-вторых, вы могли настроить программу таким образом, что она автоматически проверяет наличие обновлений или новых версий. Для этого CommView соединяется с сайтом www.tamos.com . Вы можете это отключить ( Настройка=>Установки=>Разное=>Включить автоматическую проверку обновлений ). В-третьих, после покупки программы требуется ее активация. Если вы выберете онлайн-активацию, то программа сама подключится к www.tamos.com . Этого можно избежать, выбрав активацию вручную. Это единственные виды соединений, которые может устанавливать CommView. Программа не ведет никакого скрытого обмена данными – мы не продаем spyware.

В. Зачастую я вхожу как пользователь без административных прав. Следует ли мне каждый раз выходить и заходить вновь уже как администратор?

О. Нет. Откройте папку с CommView и, удерживая нажатой клавишу Shift, щелкните правой кнопкой мышки на CV.exe и выберите в меню пункт «Запустить как». Введите административные логин/пароль и нажмите OK для запуска программы. Под операционными системами Windows Vista и старше CommView автоматически запускается с повышенными правами.

В. Может ли CommView работать с сетевым адаптером, если CommView запущен под Microsoft Virtual PC?

О. Да. Единственным ограничением является то, что для виртуальных адаптеров недоступен «всеядный» режим, так что вы будете ограничены возможностью перехвата только собственных пакетов и пакетов, которые адресованы всем.

В. Во время dial-up соединения я не вижу PPP-пакетов. Это нормально?

О. К сожалению, пакеты согласования PPP не могут быть перехвачены. Заметим, что те PPP-пакеты, которые следуют непосредственно после пакетов согласования, перехватываются успешно.

В. Я работаю с WireShark и заметил, что после установки CommView больше не могу перехватывать пакеты.

О. Это известный конфликт между WinPcap (драйвером, который используется в WireShark и многих других сходных продуктах) и драйвером, используемым в CommView. Есть простое решение проблемы: начинайте перехват пакетов с помощью WireShank до того, как начнете перехват с помощью CommView. В этом случае обе программы будут осуществлять захват данных одновременно. Если же вы начнете перехват из CommView раньше, то по неизвестной нам причине WinPcap не сможет перехватывать пакеты.

В. Я реконструировал TCP-сессию, содержащую HTML-страницы на японском или китайском языке, но я не вижу текста!:

О. Для того чтобы иметь возможность просматривать восточные языки, вам нужно установить соответствующие шрифты. Откройте Панель управления => Язык и региональные стандарты, выберите пункт «Языки» и включите опцию «Установить поддержку языков с письмом иероглифами».

В. Поддерживает или анализатор VoIP экспорт аудио-информации в WAV или MP3?

О. Напрямую – нет, но на рынке представлено достаточное количество программ, которые могут решить эту задачу. Фактически, вам нужен «виртуальный аудио-кабель», т.е. возможность сохранения в файл всего, что проигрывается через вашу аудио-карту. К примеру, вы можете использовать программу Xilisoft Sound Recorder (используйте режим «What you hear»).

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector