Огляд CommView - утиліти для аналізу мережевого трафіку

  1. Робота з програмою
  2. Доступність, вартість, системні вимоги
  3. плюси:

Необхідність аналізу мережевого трафіку може виникнути з кількох причин. Контроль безпеки комп'ютера, налагодження роботи локальної мережі, контроль вихідного трафіку для оптимізації роботи розділяється підключення до Інтернету - всі ці завдання часто стоять на порядку денному системних адміністраторів, і простих користувачів. Для їх вирішення існує безліч утиліт, які називаються сніффером, як спеціалізованих, спрямованих на рішення вузької області завдань, так і багатофункціональних «комбайнів», що надають користувачеві широкий вибір інструментів. З одним із представників останньої групи, а саме утилітою CommView виробництва компанії Tamosoft , І знайомить ця стаття. Програма дозволяє наочно бачити повну картину трафіку, що проходить через комп'ютер або сегмент локальної мережі; настроюється система сигналізації дозволяє попереджати про наявність в трафіку підозрілих пакетів, появі в мережі вузлів з позаштатними адресами або підвищенні мережевого навантаження.

Головне вікно програми

CommView надає можливість вести статистику по всіх IP-з'єднанням, декодувати IP-пакети до низького рівня і аналізувати їх. Вбудована система фільтрів за кількома параметрами дозволяє налаштувати стеження виключно за необхідними пакетами, що дозволяє зробити їх аналіз більш ефективним. Програма може розпізнавати пакети більш ніж семи десятків найпоширеніших протоколів (в тому числі DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP і ін.), а також зберігати їх у файли для подальшого аналізу. Безліч інших інструментів, таких як визначення виробника мережевого адаптера по MAC-адресу, реконструкція HTML і віддалений перехоплення пакетів з допомогою додаткової утиліти CommView Remote Agent також можуть бути корисні в певних випадках.

Робота з програмою

Для початку потрібно вибрати мережевий інтерфейс, на якому буде відслідковуватися трафік.

Рядок вибору мережевого адаптера і кнопки запуску і зупинки захоплення пакетів

CommView підтримує практично будь-який тип адаптерів Ethernet - 10, 100 і 1000 Мбіт / с, а також аналогові модеми, xDSL, Wi-Fi і ін. Аналізуючи трафік адаптера Ethernet, CommView може перехоплювати не тільки вхідні і вихідні, а й транзитні пакети, адресовані будь-якого з комп'ютерів локального сегмента мережі. Варто відзначити, що якщо стоїть завдання моніторингу всього трафіку сегменту локальної мережі, то потрібно, щоб комп'ютери в ній були підключені через хаб, а не через світч. Деякі сучасні моделі світчей мають функцію port mirroring, що дозволяє їх також конфігурувати для моніторингу мережі за допомогою CommView. Детальніше про це можна прочитати в статті на web-сайті Tamosoft . Вибравши потрібний з'єднання, можна приступати до захоплення пакетів. Кнопки запуску і зупинки захоплення знаходяться близько рядки вибору інтерфейсу. Для роботи з контролером віддаленого доступу, VPN і PPPoE при інсталяції програми необхідно встановити відповідний драйвер.

Головне вікно програми розділене на кілька вкладок, що відповідають за ту чи іншу ділянку роботи. Перша з них, «Поточні IP-з'єднання», відображає детальну інформацію про діючі IP-судинних комп'ютера. Тут можна побачити локальний і віддалений IP-адреса, кількість переданих і прийнятих пакетів, напрямок передачі, число встановлених IP-сесій, порти, ім'я хоста (якщо в настройках програми не відключена функція розпізнавання DNS), і ім'я процесу, що приймає або передавального пакета даної сесії. Остання інформація недоступна для транзитних пакетів, а також на комп'ютерах, що працюють під управлінням Windows 9x / ME.

Вкладка «Поточні IP-з'єднання»

Якщо за будь-яких з'єднанню натиснути правою кнопкою миші, то відкриється контекстне меню, в якому можна знайти інструменти, що полегшують аналіз сполук. Тут можна подивитися обсяг даних, переданих в рамках з'єднання, повний список використовуваних портів, детальну інформацію про процес, який приймає або передавальному пакети даної сесії. CommView дозволяє створювати псевдоніми для MAC- і IP-адрес. Наприклад, задавши замість громіздких цифрових адрес машин локальної мережі їх псевдоніми, можна отримати легко читаються і запам'ятовуються імена комп'ютерів і таким чином полегшити аналіз сполук.

Вікно завдання псевдонімів

Щоб створити псевдонім для IP-адреси, потрібно вибрати в контекстному меню послідовно пункти «Створити псевдонім» і «використовуючи локальний IP» або «використовуючи віддалений IP». У вікні поле IP-адреси буде вже заповнено, і залишиться тільки ввести відповідне ім'я. Якщо новий запис IP-імені створюється клацанням правої кнопки миші по пакету, поле імені автоматично заповнюється ім'ям хоста (якщо воно є) і його можна редагувати. Точно так само відбувається робота з MAC-псевдонімами.

З цього ж меню, вибравши пункт SmartWhois, можна відправити обраний IP-адреса джерела або одержувача в програму SmartWhois - автономне додаток компанії Tamosoft, яке збирає інформацію про будь-якому IP-адресу або назву, наприклад, мережеве ім'я, домен, країну, штат або провінцію, місто, і надає її користувачеві.

Друга вкладка, «Пакети», відображає всі перехоплені на обраному мережевому інтерфейсі пакети і докладну інформацію про них.

Вкладка «Пакети»

Вікно розділене на три області. У першій з них відображається список всіх перехоплених пакетів. Якщо в ньому вибрати один з пакетів, клацнувши по ньому покажчиком миші, то інші вікна покажуть інформацію про нього. Тут відображається номер пакета, протокол, Mac- і IP-адреси передавального і приймаючої хоста, використовувані порти і час появи пакета.

У середній області відображається вміст пакету - в шістнадцятковому або текстовому вигляді. В останньому випадку недруковані символи замінюються точками. Якщо у верхній області вибрано одночасно кілька пакетів, то в середньому вікні буде показано загальну кількість обраних пакетів, їх сумарний розмір, а також часовий інтервал між першим і останнім пакетом.

У нижньому вікні відображається декодована детальна інформація про обраний пакеті.

Натиснувши на одну з трьох кнопок в правій нижній частині вікна, можна вибрати розташування вікна декодування: в нижній частині, або вирівняти по лівому або правому краю. Дві інші кнопки дозволяють автоматично переходити до останнього прийнятого пакету і зберегти обраний пакет у видимій області списку.

Контекстне меню дозволяє скопіювати в буфер обміну MAC-, IP-адреси і цілі пакети, привласнювати псевдоніми, застосовувати швидкий фільтр для вибору необхідних пакетів, а також скористатися інструментами «Реконструкція TCP-сесії» і «Генератор пакетів».

Інструмент «Реконструкція TCP-сесії» дозволяє переглянути процес обміну між двома хостами по TCP. Для того щоб вміст сесії виглядало більш зрозуміло, потрібно вибрати відповідну «логіку відображення». Ця функція найбільш корисна для відновлення текстової інформації, наприклад, HTML або ASCII.

Реконструкція TCP-сесії з логікою ASCII

Та ж сесія при перегляді з логікою HTML

Отримані дані можна експортувати у вигляді текстового, RTF- або виконуваного файлу.

Вкладка «Log-файли». Тут можна налаштувати параметри збереження перехоплених пакетів в файл. CommView зберігає log-файли у власному форматі NCF; для їх перегляду використовується вбудована утиліта, запустити яку можна з меню «Файл».

Програма дозволяє зберегти всі пакети, що знаходяться на даний момент в буфері, або тільки частину з них, в заданому діапазоні

Є можливість включення автосохранения перехоплених пакетів у міру їх надходження, ведення протоколів сесій HTTP в форматах TXT і HTML, збереження, видалення, об'єднання і розділення log-файлів. Слід пам'ятати, що пакет не зберігається відразу після його прибуття, тому при перегляді log-файлу в реальному часі в ньому, швидше за все, не буде найостанніших пакетів. Для того щоб програма негайно переслала буфер в файл, потрібно натиснути кнопку «Закінчити захоплення».

У вкладці «Правила» можна задати умови перехоплення або ігнорування пакетів.

вкладка Правила

Для полегшення вибору і аналізу необхідних пакетів, можна використовувати правила фільтрації. Це також допоможе значно скоротити кількість системних ресурсів, використовуваних CommView.

Для того щоб включити яке-небудь правило, потрібно вибрати відповідний розділ з лівого боку вікна. Усього доступно сім типів правил: прості - «Протоколи і напрямок», «Mac-адреси», «IP-адреси», «Порти», «Текст», «TCP-прапори», «Процес», а також універсальне правило «Формули ». Для кожного з простих правил передбачена можливість вибору індивідуальних параметрів, таких як вибір напрямку або протоколу. Універсальне правило «Формула» є потужним і гнучким механізмом створення фільтрів за допомогою булевої логіки. Докладний довідник по його синтаксису можна знайти на web-сайті компанії .

Вкладка «Попередження» допоможе налаштувати параметри сповіщень про різні події, що відбуваються в досліджуваному сегменті мережі.

Вкладка «Попередження» дозволяє створювати, змінювати, видаляти правила попереджень, а також переглядати поточні події, що відповідають цим правилам

Для того щоб задати правило попередження, потрібно, натиснувши кнопку «Додати ...», у вікні, вибрати необхідні умови, при появі яких спрацює повідомлення, а також спосіб повідомлення користувача про це.

Налаштування правил спостереження та повідомлень

CommView дозволяє задати наступні типи відслідковуються подій:

  • «Виявлення пакету», відповідного вказаною формулою. Синтаксис формул докладно описаний в керівництві користувача;
  • «Байти в секунду». Це попередження спрацює при перевищенні зазначеного рівня завантаження мережі;
  • «Пакети в секунду». Спрацьовує при перевищенні заданого рівня частоти передачі пакетів;
  • «Бродкасти в секунду». Те ж, тільки для широкомовних пакетів;
  • «Мультикаст в секунду» - то ж для багатоадресних пакетів.
  • «Невідомий MAC-адресу». Це попередження можна використовувати для виявлення підключень нового або несанкціонованого обладнання в мережу, задавши попередньо список відомих адрес за допомогою опції «Налаштування»;
  • попередження «Невідомий IP-адреса» спрацює при перехопленні пакетів з невідомими IP-адресами відправника або одержувача. Якщо попередньо задати список відомих адрес, то це попередження можна використовувати для виявлення несанкціонованих підключень через корпоративний брандмауер.

CommView володіє потужним засобом візуалізації статистики досліджуваного трафіку. Для того щоб відкрити вікно статистики, потрібно вибрати однойменний пункт з меню «Вид».

Вікно статистики в режимі «Загальна»

В цьому вікні можна ознайомитися зі статистикою трафіку мережі: тут можна побачити кількість пакетів в секунду, байтів в секунду, розподіл протоколів Ethernet, IP і подпротоколов. Діаграми можна скопіювати в буфер обміну, що допоможе в разі необхідності складання звітів.

Відображення розподілу трафіку по IP-подпротоколам

Доступність, вартість, системні вимоги

Поточна версія програми - CommView 5.1. З web-сайту Tamosoft можна завантажити безкоштовну демонстраційну версію програми , Яка буде функціонувати протягом 30 днів.

Розробник пропонує покупцям два варіанти ліцензій:

  • Home License (домашня ліцензія), вартістю 2000 рублів, дає право користуватися програмою будинку на некомерційній основі, при цьому кількість хостів, доступних для спостереження у вашій домашній мережі, обмежується п'ятьма. В рамках даного типу ліцензії не дозволяється працювати віддалено за допомогою Remote Agent.
  • Enterprise License (корпоративна, вартість - 10000 рублів) надає право на комерційне та некомерційне використання програми однією особою, яка особисто користується програмою на одній або на декількох машинах. Програма також може бути встановлена ​​на одній робочій станції і використовуватися декількома людьми, але не одночасно.

Додаток працює в операційних системах Windows 98 / Me / NT / 2000 / XP / 2003. Для роботи необхідний мережевий адаптер Ethernet, Wireless Ethernet, Token Ring з підтримкою стандарту NDIS 3.0 або стандартний контролер віддаленого доступу.

купити програму можна в нашому он-лайн магазині програмного забезпечення .

плюси:

  • локалізований інтерфейс;
  • прекрасна довідкова система;
  • підтримка різних типів мережевих адаптерів;
  • розвинені засоби аналізу пакетів і визначення протоколів;
  • візуалізація статистики;
  • функціональна система попереджень.

мінуси:

  • занадто висока вартість;
  • відсутність пресетів для правил перехоплення і попереджень;
  • не надто зручний механізм вибору пакета у вкладці «Пакети».

висновок

Завдяки відмінній функціональності і зручному інтерфейсу CommView може стати незамінним інструментом адміністраторів локальних мереж, Інтернет-провайдерів і домашніх користувачів. Порадував ретельний підхід розробника до російської локалізації пакету: і інтерфейс, і довідкове керівництво виконані на дуже високому рівні. Кілька затьмарює картину висока вартість програми, проте тридцятиденний пробна версія допоможе потенційному покупцеві визначитися з доцільністю покупки цієї утиліти.

Меню сайта
Мини-профиль
  • Регистрация Напомнить пароль?

    Бесплатно можно смотреть фильмы онлайн и не забудьте о шаблоны dle на нашем ресурсе фильмы бесплатно скачать c лучшего сайта
    Опросы
    Топ новости