Programmbenutzung

Installation der Treiber

CommView for WiFi ist ein Überwachungstool für drahtlose 802.11 a/b/g/n/ac/ax/be-Netzwerke. Zur Benutzung dieses Produktes benötigen Sie einen kompatiblen drahtlosen Adapter. Zwecks Aktivierung der Überwachungsmöglichkeiten Ihres drahtlosen Adapters, benötigen Sie die mit diesem Produkt mitgelieferten speziellen Treiber. Wenn CommView for WiFi nicht läuft, kann Ihr Adapter ganz normal mit anderen drahtlosen Netzwerken und APs kommunizieren. Wenn CommView for WiFi läuft, arbeitet Ihr Adapter ohne Netzwerkverbindung im passiven freizügigen Überwachungsmodus.

Bevor Sie den neuen Treiber für Ihr WLAN-Adapter installieren, überprüfen Sie bitte, ob der Adapter überhaupt zu diesem Produkt kompatibel ist. Eine Liste mit kompatiblen Adapter finden Sie unter:

https://www.tamos.com/download/main/ca

CommView for WiFi unterstützt möglicherweise auch andere Adapter. Wenn Ihr Adapter in der oben genannten Liste nicht aufgelistet ist, können Sie unter unserem FAQ-Kapitel aktuellste Informationen erhalten.

Um eine weitergehende, illustrierte Installationsanweisung zu erhalten, starten Sie bitte das Programm, klicken im Programmmenü auf Hilfe => Hinweise zur Treiberinstallation und scrollen dann bis zum Ende des Fensters.

Übersicht

Das Programminterface besteht aus mehreren Registern, die es Ihnen ermöglichen, sich die Daten anzusehen bzw. verschiedene Aktionen mit den empfangenen Paketen durchzuführen. Die Funktionsfähigkeit dieser Register ist in der folgenden Tabelle beschrieben.

Name des Registers Beschreibung
Knoten Das Register dient der Kontrolle der Paketerfassung, zeigt Details für aktive Accesspoints und Stationen sowie Statistiken für die Nutzung der Kanäle und eine grafische Darstellung des drahtlosen Spektrums.
Kanäle Das Register dient der Darstellung der Statistik pro Kanal sowie von Diagrammen, die die aktivsten Knoten, MB/Sek. und Pakete/Sek. anzeigen.
Aktuelle IP-Verbindungen Das Register dient der Darstellung detaillierter Informationen über die aktuellen IP-Verbindungen zwischen den WLAN-Knoten. Diese Informationen sind verfügbar, wenn das analysierte Netzwerk keine Verschlüsselung benutzt oder wenn Sie einen korrekten WPA- oder WEP-Schlüssel eingegeben haben.
Pakete Das Register dient der Auflistung der empfangenen Pakete. Sie können die Pakete prüfen und ihren Inhalt ansehen.
VoIP-Analyse Das Register dient der detaillierten VoIP-Analyse der empfangenen Pakete. Beachten Sie bitte, dass dieses Register nur für VoIP-Lizenzinhaber oder für Anwender der Testversion mit gewähltem VoIP-Testmodus verfügbar ist.
Logging Das Register dient dem Abspeichern der empfangenen Pakete in eine Protokolldatei in verschiedenen Formaten und zur Konfigurierung der automatischen Logging.
Regeln Das Register ermöglicht Ihnen, mit den Paketfiltern zu arbeiten, die zur Regelkonfiguration zum Empfangen/Ignorieren von Paketen auf der Basis verschiedener Kriterien wie der IP-Adresse oder Portnummer dienen.
Alarme Das Register dient der Erzeugung von Alarmmeldungen, die Sie auf wichtige Ereignisse hinweisen wie verdächtige Pakete, starke Bandbreitennutzung, unbekannte Adressen etc.

Einige der Einstellungen, wie Fonts, Farben und Puffergröße können über den Menüpunkt Einstellungen verändert werden. Weitere Informationen finden sie unter Einstellungen.

Hauptmenü

Die Menübefehle der Applikation werden im Folgenden beschrieben.

Datei

Suchen

Ansicht

Werkzeuge

Einstellungen

Regeln

Hilfe

Knoten

Dies ist das Hauptregister des Programms, das der Kontrolle der Paketerfassung, dem Anzeigen detaillierter Informationen über Accesspoints und dazugehörige Stationen, Kanalauslastungsstatistiken, sowie der grafischen Darstellung des drahtlosen Spektrums dient.

Picture 62

Dieses Fenster besteht aus mehreren in der Größe veränderbaren Ausschnitten, die unten beschrieben sind.

Paketerfassung und Kanal-Anzeige

Der Ausschnitt Paketerfassung ermöglicht Ihnen, zwischen zwei Erfassungsmethoden zu wählen: dem Einkanal-Modus oder dem Scanner-Modus. Wenn Sie den Einkanal-Modus wählen, empfängt die Applikation die Pakete auf einem Kanal (oder auf mehreren Kanälen, wenn Sie mehrere unterstützte USB-Adapter benutzen; siehe die Information unten); die Kanäle können Sie in einer Drop-down-Liste auswählen. Wenn Sie den Scanner-Modus wählen, wird die Applikation zwischen den Kanälen wechseln; d.h., die Applikation empfängt die Pakete auf dem ersten Kanal, dann auf dem nächsten usw., bis sie am letzten Kanal ankommt. Dann beginnt die Applikation mit einem neuen Scanzyklus. Um die Kanäle fürs Scannen zu wählen, klicken Sie auf den Button Konfigurieren und aktivieren Sie die Auswahlkästchen, um die Kanäle zu wählen/abzuwählen. Je nach Land und den regulierenden Domänen, die in Ihrem Adapter eingestellt sind, kann die Liste der unterstützten Adapter variieren. Dies wird detailliert im Kapitel FAQ diskutiert. Benutzen Sie das Feld Sekunden/Kanal, um die Zeit zu konfigurieren, die die Applikation für den Scanprozess jedes Kanals benutzt.

Es gibt auch zwei andere Einstellungen im unteren Bereich des Ausschnitts zur Kontrolle der Paketerfassung. Die Checkbox Sekundärkanal unter im 40-MHz-Modus bestimmt die Position des Sekundärkanals, wenn die Kanalbindung im 2,4-GHz-Band benutzt wird. Standardmäßig ist die Frequenz des Sekundärkanals in 802.11-Netzwerken (40 MHz) höher als die Frequenz des Primärkanals. Aktivieren Sie diese Checkbox, wenn Sie die Pakete in einer Netzwerkumgebung erfassen, in der der Sekundärkanal eine geringere Frequenz hat. Die aktivierte Checkbox hat keine Wirkung, wenn der Sekundärkanal nicht unter dem Primärkanal platziert werden kann. Dies ist z. B. der Fall, wenn Sie auf dem 2,4-GHz-Band die Kanäle 1, 2, 3 oder 4 erfassen. Diese Option ist nur verfügbar, wenn Ihr Adapter die Erfassung auf 40-MHz-Kanälen unterstützt. Wenn die Checkbox Aktive Entdeckung der Knoten aktiviert ist, sendet die Applikation periodisch PROBE REQUEST-Pakete. Solche Pakete ermöglichen das Erkennen von Accesspoints, die keine SSID senden. Diese Option ist nur verfügbar, wenn Ihr Adapter die Paketgenerierung unterstützt.

Nachdem Sie die Erfassungsoptionen konfiguriert haben, klicken Sie auf Paketerfassung starten in der Werkzeugleiste. Wenn Sie auf einen neuen Kanal oder in den Scanner-Modus umschalten möchten, während der Einkanal-Modus aktiviert ist, können Sie dies tun, ohne die Erfassung anzuhalten. Der Ausschnitt Kanal-Anzeige zeigt den aktuellen Kanal und die Frequenz, während die Applikation Pakete erfasst.

Benutzung mehrerer Adapter für Mehrkanalerfassung

Wenn Sie die Pakete auf mehreren Kanälen simultan erfassen müssen, ist dies möglich, wenn Sie mehrere USB-Adapter benutzen. In diesem Modus wird die Drop-down-Liste für die Kanalauswahl zum Mehrfachauswahl-Bedienelement, das es Ihnen ermöglicht, bei gedrückter Ctrl-Taste mehrere Kanäle zu wählen. Der Ausschnitt Kanal-Anzeige zeigt dann mehrere Kanal-/Frequenz-Indikatoren an. Beachten Sie, dass nur einige Adapter-Modelle die Anschaltung mehrerer Adapter unterstützen. Weitere Informationen finden Sie im Kapitel Mehrkanalerfassug.

Liste der Knoten

Nachdem die Paketerfassung gestartet ist, fängt das Programm an, die Knotenliste mit den gefundenen drahtlosen Knoten zu befüllen. Der im Programm genutzte Mechanismus zur Paket-Analyse listet alle auf den vorgegebenen Kanälen und Stationen gefundenen Access Points im Ad-hoc-Modus auf sowie alle verbundenen Stationen im Infrastruktur-Modus. Es ist wichtig zu verstehen, dass das Radiomodul in einem drahlosen Adpater Daten nur jeweils auf einem Kanal gleichzeitig erhalten kann. Wenn Sie daher einen bestimmten Kanal zur Überwachung gewählt haben, zeigt die Tabelle nur die APs und Stationen an, die Daten auf diesem gewählten Kanal senden. Sie können allerdings einen anderen Kanal auswählen, ohne die Daten in der Tabelle zu löschen, oder den Scanner-Modus wählen, um die Applikation die Kanäle zyklisch scannen zu lassen, damit Sie alle aktiven Knoten auf verschiedenen Kanälen sehen können.

Die Bedeutung der Tabellenspalten wird im Folgenden beschrieben:

Einzelne Spalten können durch Rechtsklicken auf die Spaltenüberschriften aus- und eingeblendet werden, oder im Menü Ansicht => Knotenspalten. Die Spaltenreihenfolge kann durch Ziehen einer Spaltenüberschrift an eine neue Position geändert werden. Ein Rechtsklick auf die Liste der Knoten öffnet ein Menü mit den folgenden Befehlen:

Auslastung und Signal-Level

Diese Ausschnitte links auf dem Register Knoten zeigen Pro-Kanal-Auslastungsdiagramme (drei separate Diagramme für 2,4 GHz-, 5 GHz-, und 6 GHz-Kanäle) und Diagramme für Pro-Kanal-Signal-Level (drei separate Diagramme für 2,4 GHz-, 5 GHz-, und 6 GHz-Kanäle) an. Zusätzlich zu den aktuellen Pegeln zeigen diese Diagramme die historischen Höchststände, die in heller Farbe markiert sind.

Kanäle und Spektrum

Der im unteren Bereich des Registers Knoten befindliche Ausschnitt hat zwei Funktionen:

AP- und Stationsdetails

Bei Rechtsklick auf den AP oder eine Station, die im Register Knoten angezeigt werden, öffnet CommView for WiFi ein Fenster, das detaillierte Informationen für den ausgewählten Knoten anzeigt – siehe folgende Abbildung.

Picture 63

Der obere Ausschnitt zeigt den Typ, die MAC-Adresse und die SSID des ausgewählten Knotens sowie andere wesentliche Details wie den Kanal, die Zeit der ersten und letzten Sichtung usw. Der Ausschnitt benutzt dieselbe Farbe, in der der ausgewählte AP im Ausschnitt Kanäle und Spektrum im Hauptfenster der Applikation markiert ist.

Die Tabellen Pakettypen und Datenraten befinden sich im unteren Ausschnitt. Diese Tabellen zeigen detaillierte Statisken für den ausgewählten Kanal an, die auf Pakettypen, Untertypen basieren, sowie die Statisken für Datenraten.

Im linken Bereich können Sie drei Diagramme sehen: Signal-Level, Pakete/Sek. und Mbytes/Sek. Das Diagramm Signal-Level zeigt den Signalpegel für den ausgewählten Knoten. Die Diagramme Pakete/Sek. und Mbytes/Sek. zeigen die Zahl der Pakete und die Mbytes pro Sekunde, die nach/von dem vorgegebenen Knoten gesendet werden. Beachten Sie, dass diese Diagramme erst aktualisiert werden, wenn die Applikation wirklich die Daten auf dem Kanal empfängt, auf dem der vorgegebene Knoten funktioniert. Wenn Sie z. B. die Daten auf Kanal 5 erfassen und der ausgewählte AP auch auf Kanal 5 arbeitet, werden die Diagramme ständig aktualisiert. Wenn Sie jedoch den Scanner-Modus benutzen, werden die Diagramme aktualisiert, wenn die Applikation den Kanal scannt, auf dem der gewählte AP arbeitet.

Kanäle

Dieses Register zeigt für alle überwachten Kanäle die Statistik pro Kanal. Die Zahl der Kanäle in der Tabelle hängt davon ab, wie Sie CommView for WiFi verwenden. Wenn Sie lediglich einen Kanal Ihres WLANs überwachen, werden nur die Daten des ausgewählten Kanals angezeigt, da das im WLAN-Adapter verwendete „Radio“ nur jeweils auf einem Kanal Daten empfangen kann. Wenn Sie nun einen anderen Kanal wählen, wird dieser der Tabelle hinzugefügt. Wenn Sie den Scanner-Modus im Register Knoten wählen, zeigt die Tabelle die Daten aller gescannten Kanäle an, von denen mindestens ein Paket empfangen wurde.

Picture 64

Da der 802.11-Standard überlappende Kanalfrequenzen im 2,4-GHz-Band benutzt, bemerken Sie vielleicht, dass, selbst wenn Ihr WLAN so konfiguriert wurde, dass es nur einen Kanal benutzt (z. B. Kanal 6), auf den Nachbarkanälen dennoch von Null unterscheidbare Werte erscheinen. Anders als 2,4-GHz-Kanäle, überlappen die 5-GHz-Kanäle nicht.

Die Tabellen Pakettypen und Datenraten finden Sie in dem unteren Ausschnitt. Diese Tabellen zeigen detaillierte Statistiken für den ausgewählten Kanal an, die auf Pakettypen, Untertypen und Datenraten basieren.

Das Diagramm Signal-Level zeigt den Signalpegel für die 10 aktivsten Knoten auf dem ausgewählten Kanal. Die Diagramme Pakete/Sek. und Mbytes/Sek. zeigen die Zahl der Pakete und Mbytes pro Sekunde, die auf dem ausgewählten Kanal empfangen wurden. Wenn Sie mit den Daten dieser Diagramme arbeiten, beachten Sie bitte Folgendes:

Die Bedeutung der einzelnen Tabellenspalten wird im Folgenden erklärt:

Einzelne Spalten können durch Rechtsklick auf die Spaltenüberschriften aus- und eingeblendet werden, oder im Menü Ansicht => Aktuelle IP-Verbindungsspalten. Die Spaltenreihenfolge kann durch Ziehen einer Spaltenüberschrift an eine neue Position geändert werden. Ein Rechtsklick auf die Kanalliste öffnet ein Menü mit den folgenden Befehlen:

Ein Rechtsklick auf die Tabellen Pakettyp und Dataraten ruft ein Menü mit dem folgenden Befehl ab:

Aktuelle IP-Verbindungen

Dieses Register wird zur Anzeige detaillierter Informationen Ihrer WLAN-Netzwerkverbindungen (nur IP- und IPv6-Protokolle) benutzt. Zum Start der Paketüberwachung wählen Sie im Menü Datei => Erfassung starten oder klicken Sie auf den zugehörigen Button in der Werkzeugleiste. Bitte beachten Sie, dass dieser Bereich nicht angefüllt wird, bevor das Programm in der Lage ist WEP-/WPA-verschlüselten Verkehr zu entschlüsseln. Wenn Ihr WLAN WEP-Verschlüsselung nutzt, werden alle versendeten Datenpakete verschlüsselt, so dass es unmöglich ist, Informationen über deren IP-Adresse zu bekommen, solange Sie nicht den korrekten WEP- bzw. WPA-Schlüssel eingegeben haben. Um diese WEP-/WPA-Schlüssel im Menü einzugeben, wählen Sie bitte im Menü Einstellungen => WEP/WPA Schlüssel. Zusätzliche Schritte sind bei WPA-Entschlüsselung erforderlich. Mehr dazu unter Hintergründe der WPA-Entschlüsselung.

Picture 65

Die Bedeutung der einzelnen Registerspalten ist im Folgenden erklärt:

Einzelne Spalten können durch Rechtsklick auf die Spaltenüberschriften aus- und eingeblendet werden, oder im Menü Ansicht => Aktuelle IP-Verbindungsspalten. Die Spaltenreihenfolge kann durch Ziehen einer Spaltenüberschrift an eine neue Position geändert werden. Ein Rechtsklick auf das Register Aktuelle IP-Verbindungen öffnet ein Kontextmenü mit den folgenden Befehlen:

Pakete

Dieses Register dient zur Auflistung aller empfangenen Netzwerkpakete und zeigt detaillierte Informationen über das ausgewählte Paket.

Picture 66

Der obere Bereich zeigt eine Liste der empfangenen Pakete. Verwenden Sie diese Liste um ein Paket auszuwählen, dass Sie angezeigt und analysiert haben möchten. Wenn Sie ein Paket durch anklicken auswählen, zeigen die anderen Bereiche Informationen über dieses Paket.

Die Bedeutung der einzelnen Registerspalten ist im Folgenden erklärt:

Einzelne Spalten können durch Rechtsklicken auf die Spaltenüberschriften aus- und eingeblendet werden, oder im Menü Ansicht => Paketspalten. Die Spaltenreihenfolge kann durch Ziehen einer Spaltenüberschrift an eine neue Position geändert werden.

Die kontinuierliche Paketanzeige kann mit Datei => Paketausgabe unterbrechen unterbrochen werden. In diesem Modus werden Pakete zwar empfangen, aber nicht im Register Paket analysiert. Dies ist nützlich, wenn Sie eher an den allgemeinen Statistiken als an einzelnen Paketen interessiert sind. Um die Echtzeitanzeige der Pakete wieder zu aktivieren klicken Sie auf Datei => Erfassung starten.

Der mittlere Bereich des Registers zeigt den Grobinhalt des Paketes, sowohl in Hexadezimaldarstellung als auch im Klartext. Im Klartext werden nichtdruckbare Zeichen durch Punkte ersetzt. Wenn im oberen Bereich Pakete ausgewählt wurden, zeigt der mittlere Bereich die Gesamtanzahl der ausgewählten Pakete an, ferner deren Gesamtgröße und den zeitlichen Abstand zwischen dem ersten und dem letzten Paket.

Der untere Bereich des Registers zeigt die entschlüsselten Paketdaten für das ausgewählte Paket. Dies enthält wichtige Informationen für Netzwerkexperten. Mit einem Rechtsklick auf den Bereich rufen Sie ein kontextsensitves Menü auf, dass es Ihnen ermöglicht die Knoten auf- oder zuzuklappen bzw. den ausgewählten Knoten oder alle zu kopieren.

Das Register Pakete beinhaltet ferner eine kleine Werkzeugleiste, wie unten gezeigt:

Picture 5

Sie können die Position des Dekoderfensters verändern, indem Sie auf einen der drei Button dieser Werkzeugleiste klicken (das Dekoderfenster kann unten, links- oder rechtsbündig ausgerichtet werden). Der vierte Button führt ein automatisches Scrollen in der Paketliste zum zuletzt empfangenen Paket durch. Der fünfte Button läßt das auswählte Paket weiterhin sichtbar bleiben (z. B. wenn neue Pakete ankommen). Der sechste Button ermöglicht Ihnen den Inhalt des aktuellen Paket-Buffers in einem neuen Fenster zu öffnen. Diese Funktionalität ist äußerst brauchbar bei schwerer Netzwerkbelastung, gerade wenn die Paketliste rasch scrollt und es schwierig ist, Pakete zu untersuchen, bevor Sie den sichtbaren Bereich wieder verlassen. Klicken auf diesen Button erzeugt einen Schnappschuss des Puffers, sodass Sie den Puffer in einem separaten Fenster untersuchen können. Sie können soviele Schnappschüsse erzeugen wie Sie möchten.

Ein Rechtsklick auf diePaketliste öffnet ein Kontextmenü mit den folgenden Befehlen:

Ausgewählte Pakete können über Drag&Drop auf den Desktop gezogen werden.

Logging

Dieses Register dient dem Speichern empfangener Pakete in eine Datei auf die Festplatte. CommView for WiFi speichert dabei die Pakete in einem eigenen Format mit der Endung NCF. Sie können diese Dateien jederzeit mit dem Logbetrachter anschauen bzw. einfach auf die NCF-Datei doppelklicken, um sie zu laden und zu decodieren. NCF ist ein offenes Format; Mehr dazu unter CommView-Logdateiformat für detaillierte NCF-Formatbeschreibungen.

Speichern und Verwalten

Mit diesem Bereich können Sie die empfangenen Pakete manuell abspeichern und abgespeicherte Dateien verbinden bzw. splitten. Alle im Speicher befindlichen Pakete oder ein ausgewählter Bereich können abgespeichert werden. Die Felde Von und Bis ermöglichen Ihnen die erfordeliche Reihe zu setzen, die sich auf Paketnummern basiert, wie im Register Pakete angezeigt ist. Klicken Sie auf Speichern unter… um einen Dateinamen auszuwählen. Um manuell mehrere NCF-Dateien in eine große Datei zu verbinden, klicken Sie auf Logs zusammenfügen… Um zu groß geratene NCF-Dateien zu splitten, klicken Sie auf Logs splitten… Das Programm wird Sie dann so führen, dass Sie die Dateien in der gewünschten Größe erhalten.

Autospeicherung

Wählen Sie diese Checkbox, damit das Programm die empfangenen Pakete automatisch bei der Ankunft abspeichert. Mittels des Feldes Maximale Verzeichnisgröße legen Sie die Größe der im Logverzeichnis gespeicherten Informationen fest. Wenn diese Größe überschritten wird werden zuerst die ältesten Daten überschrieben. Mit dem Feld Durchschnittliche Logdateigröße geben Sie die ungefähre Größe einer Logdatei vor. Wenn die Logdatei diese vorgegebene Größe erreicht, wird automatisch eine neue Logdatei erzeugt. Um das standardmässige Logverzeichnis zu ändern, wählen Sie mittels Log Speichern unter: einen neuen Pfad.

Wenn Sie ein wichtiges empfangenes Datenpaket lange aufbewahren wollen, sollten Sie es nicht im Standardlogpfad ablegen, denn es könnte durch neuere Daten überschrieben werden. Verschieben Sie die Datei zur Aufbewahrung in ein anderes Verzeichnis.

Bedenken Sie, dass das Programm nicht automatisch jedes Paket nach dessen Empfang abspeichert. Dies bedeutet, wenn Sie die Logdateien in Echtzeit ansehen, die letzten Pakete fehlen können. Um den Puffer in die Logdateien zu schreiben, klicken Sie entweder Erfassung stoppen oder deaktivieren Sie die Checkbox Autospeicherung.

WWW-Zugriff-Protokollierung

Aktivieren Sie diese Checkbox um das Logging von HTTP-Sitzungen zu starten. Mittels des Feldes Maximale Dateigröße begrenzen Sie die Größe der Logdatei. Wenn diese Grenze überschritten wird, werden zuerst die ältesten Logdateien überschrieben. Um den Standardlogdateinamen bzw. -pfad zu ändern, klicken Sie auf die Funktion Logdateien speichern unter: und wählen Sie dann einen neuen Namen. Logdateien können im HTML - oder TXT-Format erzeugt werden. Mittels eines Klicks auf Konfiguration… können Sie die Standard-Logging-Optionen ändern. Sie können die Portnummer für den HTTP-Zugang ändern (der Standardwert von 80 funktioniert vielleicht nicht bei Ihnen, da Sie hinter einem Proxy sind) und bestimmte Datentypen ausschließen (in der Regel ist es sinnlos, etwas anderes als HTML-Seiten zu speichern; deswegen empfiehlt es sich, die URLs von Bildern aus der Logdatei auszuschließen).

Logbetrachter

Der Logbetrachter ist ein Werkzeug zum Betrachten und Erforschen von Dateien, die von CommView for WiFi oder anderen Paket-Analyzern gesammelt wurden. Es hat die Funktionaltiät des Registers Pakete im Hauptfenster, im Unterschied zum Register Pakete, zeigt der Logbetrachter geladene Pakete von auf der Festplatte befindlichen Dateien eher an als die in Echtzeitanzeige erfassten Pakete.

Um den Logbetrachter zu öffnen klicken Sie im Hauptfenster auf Datei => Logbetrachter oder doppelklicken Sie auf eine CommView for WiFi Erfassungsdatei, die Sie bereits abgespeichert haben. Sie können beliebig viele Logbetrachterfenster öffnen, und jedes davon kann zur Analyse eines oder mehrerer Dateien heranziehen.

Der Logbetrachter kann auch zur Analyse von Dateien auch anderer Paket-Analyzer und Personal Firewalls benutzt werden. In der aktuellen Version können Dateien aus Network Instruments Observer®-Network General Sniffer® for DOS/Windows-, Microsoft® NetMon-, WildPackets EtherPeek™-, AiroPeek™-, Wireshark/Tcpdump- und Wireshark/pcapng-Formate importiert werden. Diese Formate werden auch oft in Drittherstellerprodukten verwendet. Der Protokollbetrachter besitzt die Fähigkeit Paketdaten durch Dateierzeugung in Network Instruments Observer®-, Network General Sniffer® für DOS/Windows-, Microsoft® NetMon-, WildPackets EtherPeek™-, AiroPeek™-, Wireshark/Tcpdump und Wireshark/pcapng-Formate zu erzeugen, aber auch im eigenen CommView-Format.

Die Verwendung des Logbetrachters ist analog zum Register Pakete im Hauptfenster; Mehr dazu im Kapitel Pakete.

Logbetrachtermenü

Datei

Suchen

Regeln

Regeln

CommView for WiFi erlaubt Ihnen die Definition von zwei Regeltypen:

  1. Der erste Typ (Wireless-Regeln) ermöglicht es,  auf dem Wireless-Pakettyp basierende Pakete zu filtern:Daten-,Management- und Kontrollpakete. Um den Empfang dieses Pakettyps zu aktivieren/deaktivieren, verwenden Sie im Programmmenü Regeln bzw. die entsprechenden Werkzeugleisten-Buttons. Ferner können Sie mit dem Menü Ignoriere Beacons den Empfang von Beacon-Paketen ein- bzw. abschalten.
  2. Der zweite Typ (Klassische Regeln) ermöglicht es, Pakete nach vielen Kriterien zu filtern, wie der Portnummer oder der MAC-Adresse. Um diesen Regeltyp zu verwenden, gehen Sie im Hauptfenster in das Register Regeln. Wenn eine oder mehrere Regeln festgelegt werden, filtert das Programm die Pakete danach und zeigt dann nur die regelkonformen Pakete an. Wenn eine Regel gewählt ist, wird die entsprechende Seite mit hervorgehobenem Font angezeigt.

Im Statusbalken des Programms wird die Anzahl der aktiven klassischen Regeln angezeigt. Bitte beachten Sie, dass dies nicht die Anzahl der aktiven WLAN-Regeln zeigt, da der Status der Werkzeugleiste (Ein/Aus) klar zeigt, ob eine solche Regel aktiv ist oder nicht. Wireless-Regeln werden vor allen anderen Dingen aktiv. Jedes erfasste Paket muss zuerst die Wireless-Regeln passieren bevor ein weiterer Prozess stattfindet. So wird z. B. kein Paket durch das Programm angezeigt, wenn keiner der drei Wireless-Werkzeugleisten-Buttons betätigt wurde.

Sie können mittels der Regeln im Programmmenü Ihre Regeleinstellungen in einer Datei speichern und später wieder laden.

Da WLAN-Verkehr oft eine große Zahl von Datenpaketen erzeugt, empfehlen wir die Verwendung von Regeln, um nicht benötigte Pakete auszuschließen. Dadurch werden die benötigten Systemressourcen gesenkt. Wenn Sie eine Regel aktivieren bzw. deaktivieren wollen, wählen Sie den entsprechenden Teil im linken Teil des Fensters (z. B. IP-Adressen oder Ports) und deaktivieren Sie die Checkbox, die zur Regel gehört (z. B. Aktiviere IP-Adressenregeln bzw. Aktiviere Portregeln). Die verfügbaren Regeltypen sind unten beschrieben.

Protokolle

Der Dialog ermöglicht das Ignorieren/Empfangen von Paketen basierend auf den Ethernet (Layer 2)- und IP (Layer 3)-Protokollen.

Picture 61

Dieses Beispiel zeigt, wie man nur ICMP- und UDP-Pakete empfängt. Alle anderen Pakete der IP-Familie werden ignoriert.

MAC-Adressen

Der Dialog ermöglicht das Empfangen/Ignorieren von Paketen basierend auf MAC-Adressen (Hardware). Fügen Sie eine MAC-Adresse in das Eingabefeld Datensatz hinzufügen ein, wählen die Richtung (Nach, Von oder Beides) und klicken auf MAC-Adresse hinzufügen. Die neue Regel wird angezeigt. Wählen Sie die durchzuführende Aktion, wenn ein neues Paket verarbeitet wird: Das Paket kann ignoriert oder erfasst werden. Sie können auch auf den Button MAC-Kennname klicken, um eine Liste der Kennnamen zu erhalten. Doppelklicken Sie auf einen Kennnamen, den Sie hinzufügen wollen. Die MAC-Adresse wird der Eingabeliste hinzugefügt.

Picture 60

Dieses Beispiel zeigt, wie man das Programm Pakete ignorieren läßt, die von 0A:DE:34:0F:23:03E kommen. Alle Pakete von anderen MAC-Adressen werden empfangen.

IP-Adressen

Mit diesem Dialog können Pakete basierend auf IP-Adressen ignoriert oder empfangen werden. Geben Sie einfach eine IP- oder IPv6-Adresse im Bereich Datensatz hinzufügen ein, wählen die Richtung (Nach,Von oder Beides) und klicken dann auf IP-Adresse hinzufügen. Sie können dabei für IP-Blöcke sogenannte Wildcards (Platzhalter) verwenden. Die neue Regel wird angezeigt. Wählen Sie die durchzuführende Aktion, wenn ein neues Paket verarbeitet wird: Das Paket kann ignoriert oder erfasst werden. Über den Button IP-Kennname können sie eine Liste von Kennnamen erhalten; Doppelklicken Sie auf den Kennnamen, den Sie hinzufügen wollen und die entsprechende IP-Adresse wird der Eingabeliste hinzugefügt.

Picture 59

In diesem Beispiel zeigen wir wie Sie die Pakete definieren können, die an 63.34.55.66 gehen bzw. von 207.25.16.11 und von allen Adressen im Bereich 194.154.0.0 und 194.154.255.255 kommen. Alle Pakete, die von anderen Adressen kommen, werden ignoriert. Da im IP-Protokoll IP-Adressen verwendet werden, würde eine solche Konfiguration alle Nicht-IP-Pakete automatisch ignorieren. Die Benutzung von IPv6-Adressen erfordert Windows XP oder höher und die IPv6-Stapelung muss installiert sein.

Ports

Der Dialog ermöglicht das Ignorieren oder Empfangen von Paketen über Ports. Fügen Sie einfach eine Portnummer im Bereich Datensatz hinzufügen ein, wählen dann die Richtung (Nach, Von oder Beides) und klicken Port hinzufügen an. Die neue Regel wird angezeigt. Wählen Sie die durchzuführende Aktion, wenn ein neues Paket verarbeitet wird: Das Paket kann ignoriert oder erfasst werden. Betätigen Sie den Button Port Referenz um eine Liste aller bekannten Ports zu erhalten. Doppelklicken Sie auf den Port, den Sie hinzufügen wollen und seine Portnummer wird der Eingabeliste hinzugefügt. Ports können als Text eingegeben werden, z. B. http oder pop3. Das Programm wird dann den Portnamen in einen numerischen Wert umwandeln.

Picture 58

In diesem Beispiel sehen Sie, wie Sie das Programm dazu bringen Pakete von Port 80 kommend bzw. zu Port 137 gehend zu ignorieren. Diese Regel verhindert, dass CommView for WiFi eingehenden HTTP-Verkehr bzw. ein- und ausgehenden NETBIOS NAME Service-Verkehr anzeigt. Alle von oder zu anderen Ports gehende Pakete werden aber angezeigt.

TCP-Flags

Der Dialog ermöglicht das Ignorieren oder Empfangen von Paketen basierend auf TCP-Flags. Wählen Sie eine oder mehrere Checkboxen im Bereich Datensatz hinzufügen und klicken Sie dann auf Flags hinzufügen. Die neue Regel wird angezeigt. Wählen Sie die durchzuführende Aktion, wenn ein neues Paket mit einem vorgegebenen TCP-Flag bearbeitet wird: Das Paket mit den kann ignoriert oder erfasst werden.

Picture 57

In diesem Beispiel sehen Sie, wie das Programm TCP-Pakete mit dem PSH ACK-Flag ignoriert. Alle Pakete mit anderen PCP-Flags werden empfangen.

Text

Der Dialog ermöglicht den Empfang von Paketen, die einen bestimmten Text enthalten. Fügen Sie den Text-String im Bereich Datensatz hinzufügen ein und klicken Sie dann auf Text hinzufügen. Die neue Regel wird angezeigt. Wählen Sie die durchzuführende Aktion, wenn ein neues Paket verarbeitet wird: Das Paket kann ignoriert oder erfasst werden.

Picture 56

In diesem Beispiel sehen Sie, wie man das Programm dazu bringt, nur Pakete zu empfangen, die "GET" enthalten. Wählen Sie die Checkbox Gross-/Kleinschreibung unterscheiden, wenn die Groß- und Kleinschreibung beachtet werden soll. Wählen Sie die Checkbox UTF8 oder UTF16, wenn Sie möchten, dass die Regel mit der jeweiligen Kodierung Ihres Textes übereinstimmt. Alle Pakete, die nicht den genannten Text enthalten, werden nun ignoriert. Wenn Sie eine Regel erstellen möchten, die auf hexadezimalen Bytesequenzen basiert, wenn der Text nicht druckfähig ist (z.B. 0x010203), sehen Sie im Kapitel Erweiterte Regeln nach.

Für Fortgeschrittene

Erweiterte Regeln sind die mächtigsten und flexibelsten Regeln, die es Ihnen ermöglichen komplexe Filter basierend auf Bool’scher Logik zu implementieren. Eine detaillierte Hilfe zu der erweiterten Regeln finden Sie im Kapitel Erweiterte Regeln.

Erweiterte Regeln

Erweiterte Regeln sind die mächtigsten und flexibelsten Regeln, die es Ihnen ermöglichen komplexe Filter basierend auf Bool’scher Logik zu implementieren. Um diese zu nutzen brauchen Sie grundlegende Kenntnisse in Mathematik und Logik. Die Regelsyntax ist aber leichtverständlich.

Picture 55

Übersicht

Um eine neue Regel hinzuzufügen müssen Sie einen beliebigen Namen im Eingabefeld Name eingeben, wählen Sie dann die Aktion Pakete erfassen/ignorieren. Geben Sie eine Formel nach der weiter unten erklärten Syntax ein und klicken anschließend auf Hinzufügen/Editieren. Die neue Regel wird hinzugefügt und ist augenblicklich aktiv. Es können beliebig viele Regeln hinzugefügt werden. Es sind jedoch nur die Regeln aktiv, die eine aktivierte Checkbox neben ihrem Namen haben. Die Regeln können über die entsprechenden Checkboxen aktiviert/deaktiviert werden. Zum endgültigen Löschen von Regeln verwenden Sie den Button Löschen. Wenn mehrere Regeln aktiv sind, können Sie das Ergebnis abschätzen, indem Sie Auswerten anklicken. Mehrere aktive Regeln werden über den logischen OR-Operator gekoppelt, wenn Sie also drei aktive Regeln haben, nennen wir sie REGEL1, REGEL2 oder REGEL3, ist das Ergebnis gültig, sobald mindestens eine der drei Regeln zutrifft. Wenn Sie auch negative ("Ignore") Regeln benutzen, werden sie über den logischen AND-Operator dem Ergebniss eingefügt, weil die Kopplung der negativen Regeln über den OR-Operator keinen Sinn hat.

Syntax Beschreibung

Schauen Sie in die 802.11 Standardspezifikationen für detaillierte Informationen zu den 802.11 Paket-Header-Feldern und den von ihnen akzeptierten Werten.

Die oben genannten Schlüsselwörter können mit den folgenden Operatoren verwendet werden:

Zahlen entweder in Dezimal- oder Hexadezimalschreibweise. In der Hexnotation muß 0x vor jeder Zahl stehen, z. B. 15 oder 0x0F.

Beispiele

Folgende Beispiele zeigen die Regelsyntax. Jede Regel besitzt einen Kommentar zur Regelerklärung. Die Kommentare folgen nach zwei Schrägstrichen.

Alarme

Dieser Dialog ermöglicht es Alarme zu erzeugen, die Sie über bestimmte Ereignisse informieren, wie verdächtige Pakete, starke Bandbreitennutzung, unbekannte Adressen usw. Solche Alarme sind sehr nützlich, wenn Sie das Netzwerk auf bestimmte verdächtige Ereignisse überwachen, wie auffällige Bytemuster in den empfangenen Paketen, Portscans oder unerwartete Hardwareverbindungen.

Die Alarme können nur von gefilterten Paketen ausgelöst werden. Wenn Sie z. B. das Programm so konfigurieren, dass es UDP-Pakete ausfiltert und andererseits die Alarmfunktion so einstellen, dass sie durch UDP-Pakete ausgelöst wird, so wird der Alarm nie ausgelöst.

Alarme werden über die folgende Liste verwaltet:

Picture 9

Jede Zeile entspricht einem separaten Alarm und diee Checkbox daneben zeigt, ob der Alarm gegenwärtig aktiv ist. Wenn ein Alarm ausgelöst wird verschwindet die Checkbox. Um einen deaktivierten Alarm wieder zu aktivieren markieren Sie erneut die Checkbox neben dem Alarmnamen. Um alle Alarme zu deaktivieren, leeren Sie die Liste Alarme aktivieren. Um einen neuen Alarm zu editieren oder zu löschen verwenden Sie bitte die gleichnamigen Buttons im rechten Teil des Dialogs. Mittels der Schaltfläche E-Mail-Setup können Informationen zu Ihrem SMTP-Server eingegeben werden, wenn Sie E-Mail-Benachrichtigung wünschen (siehe unten).

Das Alarmeinstellungsfenster wird unten gezeigt:

Picture 10

Das Feld Name sollte für die Beschreibung der Alarmfunktion genutzt werden. Aktivieren Sie die Checkbox Aktiviert wenn der Alarm nach dem Hinzufügen/Editieren bei Beendigung des Setup aktiviert werden soll. Diese Checkbox entspricht der in der Alarmliste. Mit dem Auswahlbereich Alarm Typ wählen Sie einen von zehn Alarmen aus:

Das Eingabefeld Erford. Anzahl Ereignisse für Alarm: Ermöglicht Ihnen den Schwellenwert für die Ereignisanzahl festzulegen, um einen Alarm auslösen zu lassen. Wenn Sie z. B. einen Wert von 3 wählen, wird ein Alarm erst ausgelöst, wenn das entsprechende Ereignis dreimal auftaucht. Wenn Sie einen bereits existierenden Alarm editieren, wird der Zähler auf Null zurückgesetzt.

Das Eingabefeld Max. Anzahl Auslösungen des Alarms: Ermöglicht es Ihnen die Anzahl der Alarme festzulegen, bevor diese deaktiviert werden. Standardmäßig ist hier der Wert gleich 1, so dass nach der Alarm nach dem ersten Paketereignis deaktiviert wird. Wenn Sie diesen Wert erhöhen, wird CommView for WiFi ihn mehrmals auslösen. Wenn Sie einen Alarm editieren, wird der Zähler auf Null zurückgesetzt.

Im Bereich Aktion wählen sie die mit dem Alarm auszulösenden Ereignisse. Die folgenden Aktionen sind erhältlich:

%SMAC% – Quell-MAC-Adresse
%DMAC% – Ziel-MAC-Adresse
%SIP% – Quell-IP-Adresse
%DIP% – Ziel-IP-Adresse
%SPORT% – Quell-Port
%DPORT% – Ziel-Port
%ETHERPROTO% – Ethernet-Protokoll
%IPPROTO% – IP-Protokoll
%SIZE% – Paketgröße
%FILE% – Pfad zu einer temporären Datei, die das empfangene Paket enthält.

So wird z. B. in Ihrer Nachricht in der Meldung "SYN Paket von %SIP%, " wird %SIP% im aktuellen Popup-Windowtext ersetzt werden durch die Quell-IP-Adresse des alarmauslösenden Paketes. Wenn Sie die %FILE%-Variable verwenden, wird eine NCF-Datei in einem temporären Verzeichnis erzeugt. Es liegt in Ihrer Verantwortung diese Datei nach der Bearbeitung zu löschen. Sie sollten keine Variablen verwenden, wenn der Alarm ausgelöst wurde von Bytes/Sekunde- oder Pakete/Sekunde-Werten, da diese Alarme nicht von individuellen Paketen ausgelöst werden.

Klicken Sie auf OK um die Einstellungen abzuspeichern und das Alarmdialogfenster zu schliessen.

Alle Ereignisse und Aktionen, die mit den Alarmen zu tun haben, finden Sie im Bereich Ereignis-Log: unterhalb der Alarmliste.

WEP-/WPA-Schlüssel

Der Dialog WEP/WPA-Schlüssel ermöglicht die Eingabe von WEP-, WPA-, oder WPA2-Schlüsseln zum Entschlüsseln der empfangenen Pakete. Ohne die Schlüssel kann das Programm verschlüsselte Datenpakete in Ihrem WLAN nicht entschlüsseln. Da einige WLAN’s Mixed Mode-Verschlüsselung verwenden, bei der sowohl WEP- als auch WPA-basierende Clients sich authentifizieren können, können Sie WEP-Schlüssel und WPA-Passphrases gleichzeitig verwenden.

WEP

Mit diesem Standard können Sie bis zu vier WEP-Schlüssel verwenden, so dass Sie ein bis vier Schlüssel definieren können. Mit der Dropdown-Liste zur Schlüssellänge wählen Sie die Schlüssellänge. Unterstützte Längen sind 64, 128, 152 und 256 Bit, daher sollten Sie einen Hexadezimal-String verwenden, der entsprechend 10, 26, 32, oder 58 Zeichen lang ist.

WPA

Der Wi-Fi Protected Access-Standard (WPA) definiert einige Authentifizierungs- und Verschlüsselungsarten. Davon werden aber nicht alle von CommView for WiFi unterstützt, da die darunterliegenden Sicherheitsmodelle Einschränkungen mit sich bringen. CommView for WiFi unterstützt die Entschlüsselung von WPA oder WPA2 im Pre-Shared Key-Modus (PSK) unter Verwendung des Temporal Key Integrity-Protokolls (TKIP) oder des Advanced Encryption Standard/Counter CBC-MAC-Protokoll (AES/CCMP) zur Datenverschlüsselung. Sie können hier eine Passphrase oder einen 64 Zeichen langen hexadezimalen Schlüssel eingeben.

Bitte beachten Sie, dass der mit WPA3 verschlüsselte Paketverkehr nicht entschlüsselt werden kann. WPA3 verwendet die Passphrase nur zur Authentifizierung. Entschlüsselung ist unmöglich.

Mehr über die Verarbeitung von WPA-verschlüsseltem Verkehr durch CommView for WiFi erfahren Sie im Kapitel Hintergründe der WPA-Entschlüsselung. Zur Eingabe einer neuen WPA-Passphrase möchten Sie vielleicht das Knotenzuordnungswerkzeug benutzen.

Picture 3

Um das aktuelle Schlüsselset zu speichern, klicken Sie bitte auf Speichern…. Zum Laden eines Sets klicken Sie auf Laden….

Das Schlüsselset, das Sie mit diesem Dialog eingeben oder laden können, wird auf die empfangenen Pakete in Echtzeit angewandt, aber auch auf die bisher abgespeicherten NCF-Dateien. Werden empfangene Pakete in eine NCF-Datei gespeichert, werden die erfolgreich entschlüsselten Pakete auch in entschlüsselter Form abgespeichert, während die nicht entschlüsselbaren dann unverändert abgespeichert werden.

TCP-Sitzungen rekonstruieren

Mit diesem Dialog können Sie sich die TCP-Kommunikation zwischen zwei Host’s ansehen. Um eine TCP-Sitzung zu rekonstruieren, wählen Sie als erstes ein TCP-Paket im Register Pakete. Abhängig von den Einstellungen (Checkbox: Suche den Sitzungstart wenn TCP-Sitzungsrekonstruktion startet in Einstellungen => Optionen => Dekodierung), wird die Sitzung von dem ausgewählten Paket ausgehend (kann ein Paket aus der Sitzungsmitte oder vom Sitzungsstart sein) rekonstruiert. Nach dem Sie das Paket gefunden und ausgewählt haben, führen Sie einen Rechtsklick darauf aus und wählen TCP-Sitzung rekonstruieren wie unten gezeigt:

Picture 11

Rekonstruktionssitzungen funktionieren am besten mit textbasierten Protokollen, wie POP3, Telnet oder HTTP. Natürlich können Sie den Download einer großen Zip-Datei rekonstruieren, aber es kann sein, dass CommView for WiFi für die Rekonstruktion von mehreren Megabytes sehr lange braucht, und meist ist dann auch die erhaltene Information sinnlos.

Das Register Inhalt zeigt die aktuellen Sitzungsdaten an, während das Register Sitzungsanalyseden Fluss der rekonstruierten TCP-Sitzungen graphisch darstellt.

Eine Beispiel-HTTP-Session mit HTML-Daten, die im ASCII- und HTML-Modus angezeigt werden, ist im Folgenden dargestellt:

Picture 12

Picture 13

Normalerweise werden im HTML-Anzeigemodus in den HTML-Seiten keine Bilder angezeigt, da im HTTP-Protokoll Bilder separiert vom Text übertragen werden. Um diese Bilder zu sehen, müssen Sie zur nächsten TCP-Sitzung navigieren. Im Folgenden finden Sie ein Beispiel für eine HTTP-Sitzung, die Bilder enthält und im HTML-Modus angezeigt wird:

Picture 14

Standardmäßig versucht CommView for WiFi GZIP-ten Webinhalt zu dekomprimieren und Bilder aus dem Binärstrom zu rekonstruieren. Diese Funktion kann im Dialog Einstellungen mittels des Bereichs Decodierung abgeschaltet werden.

Wenn Sie im unteren Bereich eine der Checkboxen deaktivieren, können Sie Daten, die aus einer bestimmten Richtung kommen ausfiltern. Ein- und ausgehende Daten sind zur besseren Erkennung durch verschiedene Farben markiert. Diese Farben können Sie mittels Einstellungen => Farben ändern. Wort-Wrapping kann mittels Einstellungen => Word Wrap aktiviert/deaktiviert werden.

Mittels der Dropdown-Liste Anzeigetyp können Sie die Daten in folgenden Formaten ansehen: ASCII- (Klartext),HEX- (hexadezimal), HTML- (Webseiten und Bilder), EBCDIC-Format (IBM mainframes' data encoding) und UTF-8 (Unicode-Daten). Bitte beachten Sie, dass die Ansicht der Daten im HTML-Format nicht automatisch dasselbe Ergebniss bringt, wie mit dem Webbrowser (Sie sehen dann keine Inlinegrafik), dennoch erhalten Sie eine ungefähre Vorstellung wie die Seite im Original aussah.

Im Dialog Optionen können Sie unter Decodierung festlegen, wie der Standardanzeigetyp für die Rekonstruktion von TCP- Sessions aussieht.

Mit den Navigation-Buttons können Sie den Puffer nach der nächsten oder letzten TCP-Sitzung absuchen. Der erste Vorwärts-Button [>>] sucht nach der nächsten Sitzung zwischen den beiden Hosts, die an der ersten Rekonstruktionssitzung beteiligt waren. Der zweite Vorwärts-Button [>>>] sucht nach der nächsten Sitzung zwischen zwei beliebigen Hosts. Wenn Sie mehrere TCP-Sitzungen zwischen den zwei Hosts im Puffer haben und alle nacheinander ansehen wollen, empfehlen wir mit der Rekonstruktion der ersten Sitzung anzufangen, da der Rückwärtsbutton [<<] nicht weiter zurück als bis zur zuerstrekonstruierten TCP-Sitzung gehen kann.

Die so erhaltenen Daten können als Binärdaten, HTML-, Text- oder Rich-Textdatei durch Klicken auf Datei => Speichern unter… gesichert werden. Wenn Sie in ein Textformat speichern, ist die Ergebnisdatei eine Unicode UTF-16-Datei. Wird ins HTML-Format gespeichert, ist die Verschlüsselung der Ergebnisdatei vom aktuell gewählten Anzeigetyp abhängig. Wenn HTML aktuell gewählt ist, wird die Ergebnisdatei eine ANSI-Textdatei, für alle anderen Anzeigetypen ist die Ergebnisdatei eine Unicode UTF-16-Datei. Beachten Sie, wenn Sie eine HTTP-Sitzung mit Bildern speichern, werden die Bilder in das temporäre Verzeichnis auf Ihrer Festplatte gespeichjert, falls Sie die Bilder behalten möchten, öffnen Sie die gespeicherte Datei in Ihrem Browser und speichern die Datei in einem Format, dass Bilder beinhaltet, z.B. MHT, bevor Sie CommView for WiFi schließen.

Sie können durch Klicken auf Bearbeiten => Finden… nach einer Zeichenkette in der Sitzung suchen.

Sitzungsanalyse

Das Register Sitzungsanalyse des TCP-Sitzungsfensters stellt rekonstruierte TCP-Sitzungen grafisch dar. Sie können den Sitzungsdatenfluss, Fehler, Verzögerungen und verlorene erneut übertragene Daten sehen.

Die folgenden Daten werden für jedes Sitzungspaket angezeigt:

Wenn ein Paket Fehler beinhaltet, wird die Eigenschaft des Fehlers erklärt. Es erscheint ein Beschreibungstext am rechten Rand des Diagramms. Wenn Sie die Maus über ein Paket mit Dateninhalt bewegen, wird der Dateninhalt in einem Hinweisfenster angezeigt. Beachten Sie, dass das Feld Anzeigetyp bestimmt, wie die Daten im Anzeigefenster decodiert werden. Ein Beispiel für ein Sitzungsanalysefenster wird unten gezeigt:

Picture 15

Der rechte Ausschnitt zeigt einige Basisstatistiken für die vorgegebene Sitzung:

Sie können das grafische Schaubild der rekonstruierten TCP-Sitzung als BMP-, GIF- oder PNG-Datei durch Rechtsklick auf das Schaubild und Auswahl des Kontextmenüpunktes Bild speichern als… speichern. Sitzungen mit einer großen Paketanzahl werden in mehrere Dateien aufgeteilt.

UDP-Ströme rekonstruieren

Dieses Werkzeug ist dem im vorhergehenden Kapitel beschriebenen Werkzeug TCP-Sitzungen rekonstruieren sehr ähnlich; schauen Sie bitte für weitergehende Informationen in diese Kapitel. Allerdings ist UDP, nicht wie TCP, ein verbindungsloses Protokoll, die folgenden Unterschiede bestehen zwischen TCP-Sitzungsrekonstruktion und UDP-Stream-Rekonstruktion:

Pakete suchen

Um die Pakete aufzufinden, die einen bestimmten Text oder eine bestimmte Adresse enthalten, öffnen Sie den Finde Paketinhalt Dialog (Suchen => Finde Paket). Geben Sie einen Such-String ein, wählen Sie die Art der eingegebenen Information (String oder Hex) und klicken Sie auf Finde nächstes. Das Programm sucht dann nach Paketen, die dem Suchkriterium entsprechen und zeigt diese dann im Register Pakete an.

Sie können den Text als String, hexadezimal Wert, MAC- oder IP-Adresse eingeben. Die Zeichenkettensuche wird in ASCII- und Unicode-Formaten (UTF-8 und UTF-16) ausgeführt. Einen Hex-String sollte benutzt werden wenn Sie nichtdruckbare Zeichen eingeben wollen: Geben Sie die hexadezimalen Werte folgendermaßen ein, z. B. AD0A027804. Die Benutzung von IPv6-Adressen erfordert Windows XP oder höher und die IPv6-Stapelung muss installiert sein.

Aktivieren Sie Gross-/Kleinschr. für eine Suche unter Berücksichtigung der Gross- und Kleinschreibung. Aktivieren Sie Bei Offset: um einen String zu suchen, der zu einem bestimmten Offset beginnt. Beachten Sie bitte, dass der Offset-Indikator hexadezimal und nullbasierend ist (wenn Sie z. B. nach dem ersten Byte in dem Paket suchen, ist das Offset 0). Sie können ebenso eine Suchrichtung auswählen, Aufwärts oder Abwärts.

Statistiken und Berichte

Dieser Dialog (Ansicht => Statistiken) zeigt wichtige Netzwerkstatistiken für Ihr WLAN-Segment, wie Paketanzahl/Sekunde, Bytes/Sekunde, Ethernet-Protokolle, IP-Protokolle, Sub-Protokolle und die Verteilungsgrafiken zu den Sub-Protokollen. Jede grafische Darstellung kann durch Doppelklicken in die Zwischenablage kopiert werden. Die Kuchengrafiken der Ethernet-Protokolle, IP-Protokolle und der Sub-Protokolle können, mittels der kleinen Buttons im unteren rechten Eck, zur besseren Sichtbarkeit der Bereiche rotiert werden.

Die auf jeder Seite angezeigten Daten können als Bitmap oder kommaseparierte Textdatei über das Kontextmenü bzw. durch Drag&Drop gespeichert werden. Mit der Seite Bericht kann CommView for WiFi automatisch individualisierte Berichte im HTML- bzw. kommaseparierten Textformat erstellen.

Netzwerkstatistiken können aus allen über ihr Netzwerkadapter laufenden Daten oder durch die Regeldefinitionen erzeugt werden. Wenn sie wollen, dass die Statistikzähler nur die Daten der Pakete erfassen, die dem aktuellen Regelsatz entsprechen (und keine anderen), sollten Sie die Checkbox Aktuelle Regeln anwenden aktivieren.

Allgemein

Dies zeigt die Pakete/Sekunde bzw. Bytes/Secunde oder Bits/Sekunde als Histogramm an, ferner den Bandbreitenverbrauch (Verkehr/Sekunde dividiert durch die Geschwindigkeit des drahtlosen Adapters), ferner den Gesamtpaket- und -bytezähler. Ein Doppelklick auf die Anzeige öffnet ein Dialogfenster, in dem Sie die Adaptergeschwindigkeit manuell konfigurieren können, damit diese für die Bandbreitennutzungsberechnungen verwendet werden kann.

Protokolle

Zeigt die Verteilung der Ethernet-Protokolle, wie ARP, IP, SNAP, SPX, etc. Wählen Sie die Dropdown-Liste Diagramm von um eine der zwei möglichen Berechnungsmethoden auszuwählen: Nach der Paketanzahl oder nach der Byteanzahl. Wenn Ihr WLAN WEP- bzw. WPA-Verschlüsselung verwendet, müssen die WEP- bzw. WPA-Schlüssel korrekt konfiguriert sein, damit das Programm den Netzwerkverkehr entschlüsseln kann; ansonsten ist diese Darstellung leer.

IP-Protokoll

Zeigt die Verteilung der IP-Protokolle. TCP, UDP und ICMP. Wählen Sie die Dropdown-Liste Diagramm von um eine der zwei möglichen Berechnungsmethoden auszuwählen: Nach der Paketanzahl oder nach der Byteanzahl. Wenn Ihr WLAN WEP- bzw. WPA-Verschlüsselung verwendet, müssen die WEP- bzw. WPA-Schlüssel korrekt konfiguriert sein, damit das Programm den Netzwerkverkehr entschlüsseln kann; ansonsten ist diese Darstellung leer.

IP-Unterprotokolle

Zeigt die Verteilung der wichtigsten IP-Anwendungslevel-Unterprotokolle: HTTP, FTP, POP3, SMTP, Telnet, NNTP, NetBIOS, HTTPS und DNS. Um weitere Protokolle hinzuzufügen verwenden Sie die Schaltfläche Einstellungen. Mit diesem Dialog können Sie bis zu 8 selbstdefinierte Protokolle hinzufügen. Geben Sie dazu den Protokollnamen ein, wählen Sie den Protokolltyp (TCP/UDP) und die Portnummer. Wählen Sie die Dropdown-Liste Diagramm von um eine der zwei möglichen Berechnungsmethoden auszuwählen: Nach der Paketanzahl oder nach der Byteanzahl. Wenn Ihr WLAN WEP- bzw. WPA-Verschlüsselung verwendet, müssen die WEP- bzw. WPA-Schlüssel korrekt konfiguriert sein, damit das Programm den Netzwerkverkehr entschlüsseln kann; ansonsten ist diese Darstellung leer.

Größe

Zeigt die Verteilung (Grafik) nach Paketgröße.

Hosts nach MAC

Listet die aktiven WLAN-Hosts geordnet nach MAC-Adresse auf und zeigt die Datentransferstatistik. Sie können den MAC-Adressen Kennnamen zuordnen. Wenn Sie zu viel Multicast-Pakete in Ihrem Netzwerk haben, so dass die Hosts nach MAC-Tabelle überfüllt ist, können Sie die Multicast-Adressen zusammenfassen (GroupedMulticast). Diese Funktion aktivieren Sie mittels Aktivierung der Checkbox Multicast-Adressen gruppieren. Beachten Sie, dass nur Pakete, die nach der Aktivierung dieser Funktion ankommen, entsprechend gruppiert werden, vorher empfangene Pakete werden nicht berücksichtigt.

Hosts nach IP

Listet die aktiven WLAN-Hosts nach IP-Adresse auf und zeigt die Datentransferstatistik. Da empfangene IP-Pakete von beliebig vielen IP-Adressen stammen können (innerhalb bzw. außerhalb Ihres WLANs), zeigt diese Tabelle standardmässig keine Statisktik. Zur Anzeige der Statistik müssen Sie erst den zu überwachenden IP-Adressraum durch klicken auf Bereich hinzufügen/setzen festlegen. Normalerweise sollte dieser Bereich zu Ihrem WLAN gehören. Durch die Konfiguration eines solchen Bereiches von IP-Adressen erhalten Sie die Nutzungsstatistik. Sie können jeden Bereich definieren, solange der Gesamt-IP-Adressbereich nicht mehr als 1.000 IP-Adressen umfaßt. Um einen Bereich zu löschen rechtsklicken Sie auf die Liste des Bereiches und wählen dann den entsprechenden Menübefehl. Sie können den IP-Adressen Kennnamen zuordnen. Ferner können Sie die Checkbox  Alle wählen, um alle IP-Adressen aufzulisten; diese Funktion wird jedoch nicht empfohlen für die Nutzungserfassung von RAM und CPU. Wenn Ihr WLAN WEP- bzw. WPA-Verschlüsselung verwendet, müssen die WEP- bzw. WPA-Schlüssel korrekt konfiguriert sein, damit das Programm den Netzwerkverkehr entschlüsseln kann; ansonsten ist diese Darstellung leer.

Matrix nach MAC

Diese Seite zeigt eine grafische Matrix zwischen Hosts und deren MAC-Adressen. Die durch die MAC-Adressen repräsentierten Hosts sind innerhalb des Kreises und die Sessions werden als Verbindungen zwischen diesen angezeigt. Wenn Sie den Mauszeiger über einen Host führen werden alle Verbindungen von diesem Host zu anderen Hosts hervorgehoben. Die Anzahl der aktivsten Hostpaare können Sie mittels des Wertes im Feld Aktivste Hostpaare ändern. Wenn Sie die Anzahl der zuletzt untersuchten Paare ändern wollen, verändern Sie bitte den Wert im Feld Letzte Paare einbeziehen. Wenn die Matrix zu voll ist, da Ihr Netzwerk zu viele Broadcast- bzw. Multicastpakete hat, aktivieren Sie die Checkboxen Broadcasts ignorieren und Multicasts ignorieren.

Matrix nach IP

Diese Seite zeigt grafisch den Zusammenhang zwischen Hosts und deren IP-Adressen. Die durch die IP-Adressen repräsentierten Hosts sind innerhalb des Kreises, und die Sitzungen werden als Verbindungen zwischen diesen angezeigt. Wenn Sie den Mauszeiger über einen Host führen werden alle Verbindungen von diesem Host zu anderen Hosts hervorgehoben. Die Anzahl der aktivsten Hostpaare können Sie mittels des Wertes im Feld Aktivste Hostpaare ändern. Wenn Sie die Anzahl der zuletzt untersuchten Paare ändern wollen, verändern Sie den Wert im Feld Letzte Pakete einbeziehen. Wenn die Matrix zu voll ist, da Ihr Netzwerk zu viele Broadcast- bzw. Multicastpakete hat, aktivieren Sie die Checkboxen Broadcasts ignorieren und Multicasts ignorieren. Wenn Ihr WLAN WEP- bzw. WPA-Verschlüsselung verwendet, müssen die WEP- bzw. WPA-Schlüssel korrekt konfiguriert sein, damit das Programm den Netzwerkverkehr entschlüsseln kann; ansonsten ist diese Darstellung leer.

Bericht

Mit diesem Dialog erzeugt CommView for WiFi automatisch Berichte im HTML- (einschl. Bildern von Tabellen und Graphen) oder kommaseparierten Textformat.

Neben den Echtzeitstatistiken kann das Programm auch Statistiken aus bereits gesammelten Daten erstellen. Dazu laden Sie eine Datei in den Logbetrachter und klicken dann Datei => Statistik generieren. Vorher im Statistikfenster gesammelte Daten können, wenn gewünscht, gelöscht werden. Diese Funktion zeigt keine Zeitreihenanalyse. Sie zeigt nur Summen, Protokollkarten und LAN-Host-Tabellen.

Kennnamen verwenden

Kennnamen sind leicht zu merkende, für Menschen besser lesbare Namen, die CommView for WiFi anstelle von MAC- bzw. IP-Adressen einsetzt, wenn Pakete in den Registern Pakete und Statistiken anzeigt werden. Die Pakete können so leichter erkannt und analysiert werden. Es wird z. B. 00:00:19:2D:0D:35 in GATEWAY2 und ns1.earthlink.com wird zu MyDNS gewandelt.

Um einen MAC-Kennnamen zu erzeugen, rechtsklicken Sie auf das Paket und wählen dann im Popup-Menü Quell-MAC verwenden oder Ziel-MAC verwenden. Es erscheint ein Popup-Fenster, in dem das MAC-Adressenfeld schon ausgefüllt ist und Sie nur noch einen Kennnamen eingeben müssen. Sie können aber auch auf Einstellungen => MAC Kennname… klicken und das Feld mit der MAC-Adresse und dem Kennnamen manuell ausfüllen. Um einen Kennnamen zu löschen bzw. die ganze Kennnamenliste zu löschen, rechtsklicken sie auf die Kennnamenliste und wählen dann Datensatz löschen bzw. Alles löschen. Die Erzeugung von IP-Kennnamen ist analog. Wenn durch einen Rechtsklick auf das Paket ein neuer IP-Kennname gewählt wird, ist das Kennnamenfeld mit dem entsprechenden Hostnamen vorausgefüllt (sofern vorhanden), welcher dann vom Benutzer editiert werden kann.

Paketgenerator

Mit diesem Dialog können Sie Pakete über ihr drahtloses Netzwerkadapter versenden bzw editieren. Um den Paketgenerator zu starten, klicken sie auf Werkzeuge => Packetgenerator oder wählen Sie ein Paket im Register Pakete, rechtsklicken Sie darauf und wählen dann den Befehl Sende Paket(e).

Picture 24

Lesen Sie unbedingt die folgenden wichtigen Informationen über die Begrenzungen und Besonderheiten bei der Nutzung des Paketgenerators mit WLAN-Adaptern durch:

Beachten Sie, dass der Paketgenerator sogenannte Application-layer-TCP-Streams nicht versenden kann und soll. Das bedeutet, er kann nicht zunehmende SEQ- oder ACK-Werte automatisch verarbeiten, die Checksummen oder Paketgrößen anpassen, usw. Wenn Sie einen TCP-Stream versenden wollen, benötigen Sie eine speziell für diesen Zweck entwickelte winsock-basierende Anwendung. Der Paketgenerator ist ein Tool zum Wiederabspielen von gesammelten Daten, zum Testen von Firewalls und Intrusion Detection-Systemen und für andere Aufgaben die manuelle Paketerzeugung benötigen.

Der Paketgenerator ermöglicht es die Paketinhalte zu ändern und das decodierte Paket im linken Fenster beim Editieren anzuzeigen. Sie können damit beliebige Pakete erzeugen und haben volle Kontrolle über die Paketinhalte. Bei IP-, TCP-, UDP- und ICMP-Paketen können Sie die Checksumme automatisch mit der Schaltfläche Sigma korrigieren. Um Sie bei der Paketbearbeitung zu unterstützen, ist zusätzlich das Werkzeug Optischer Paketersteller vorhanden. Klicken Sie auf den entsprechenden Button, um das Werkzeug aufzurufen.

Sie können auch auf den Pfeilbutton klicken um die Liste der erhältlichen Paketvorlagen zu sehen. Das Programm beinhaltet bereits TCP-, UDP- und ICMP-Paketvorlagen; diese Vorlagen zu benutzen ist oftmals schneller als das Schreiben von HEX-Code im Editor. Diese Vorlagen enthalten typische TCP-, UDP- und ICMP-Pakete, Sie können statt der vorgegebenen, auch eigene Vorlagen verwenden um einzelne Paketfelder selbst zu editieren bzw. Werte einzugeben die Ihren Ansprüchen genügen, wie MAC- und IP-Adressen, Portnummern, SEQ- und ACK-Nummern usw. Sie sollten eher die eigenen Vorlagen als die eingebauten Vorlagen benutzen. Sie können ein Paktet aus dem CommView-Paketbereich durch Drag&Drop in die Vorlagensektion des Paketgenerators ziehen. Wenn Sie mehrere Pakete in die Vorlagensektion einfügen wird nur das Erste als Vorlage verwendet. In der Vorlagenliste wird nun der Eingangsname "Neue Vorlage" vorgegeben. Durch Rechtsklick auf eine neue Vorlage in der Liste können Sie diese mit Umbennen neu benennen. Wenn Sie eine Vorlage löschen wollen, rechtsklicken Sie darauf und wählen dann Löschen im Kontextmenü. Die Auswahl einer Vorlage in der Liste öffnet sie im Editorfenster, wo sie vor dem Absenden verändert werden kann.

NCF-Dateien können mit den Vorlagen Ihrer Wahl im Anwendungsverzeichnis im Unterordner TEMPLATES abgelegt werden. Wenn CommView for WiFi mindestens eine NCF-Datei im Unterverzeichnis Templates findet, wird die Vorlage in einer Dropdown-Liste zusammen mit den anderen Vorlagen angezeigt. Diese NCF-Dateien sollten nur ein Paket pro Datei enthalten, wenn Sie aber eine Datei mit mehreren Paketen öffen, wird CommView for WiFi nur das erste anzeigen.

Nach dem Editieren des Paketes können Sie mit den folgenden Befehlen die Pakete versenden:

Arbeiten mit mehreren Paketen

Mit dem Paketgenerator können Sie mehrere Pakete auf einmal senden. Dazu wählen Sie die zu versendenden Pakete in der Liste, aktivieren den Paketgenerator durch das Kontextmenü oder ziehen mittels Drag&Drop die ausgewählten Pakete in das Paketgeneratorfenster. Sie können aber auch die gesammelten Dateien mit Drag&Drop in allen unterstützten Formaten in das Paketgeneratorfenster hineinziehen. Wenn mehrere Pakete versandt werden, werden der Packer-Editor und der Dekoder-Baum sichtbar.

Editierte Pakete speichern

Wenn Sie ein Paket bearbeitet haben und es dann abspeichern möchten, ziehen Sie den Dekoder-Baum auf den Desktop oder auf ein beliebiges Verzeichnis. Es wird eine neue Datei im NCF-Format mit dem Paket erzeugt. Die Datei heißt stets PACKET.NCF. Sie können auch das Paket in das Vorlagenfenster ziehen. Wenn Sie mehrere Pakete bearbeiten wollen, sollten Sie diese nacheinander bearbeiten. Ziehen Sie jedes Mal dabei ein Paket auf den Desktop und benennen die Datei dann um. Danach öffnen Sie einen neuen Logbetrachter und verschieben (Drag&Drop) die bearbeiteten Pakete vom Desktop in den Logbetrachter. Anschliessend wählen Sie die Pakete mit der Taste [Shift] aus und rufen mittels Kontextmenü den Paketgenerator auf.

Optischer Paketersteller

Der Optische Paketersteller ist ein Werkzeug zur leichteren Paketbearbeitung und –erstellung im Paketgenerator. Dieses Werkzeug ermöglicht Ihnen, neue Pakete schnell und korrekt zu erstellen oder bestehende Pakete mit vorgefertigten Vorlagen zu modifizieren. Einmal erstellt oder bearbeitet, kann ein Paket mit dem Paketgenerator im Netzwerk in Umlauf gebracht werden.

Picture 27

Standard TCP- UDP-, ICMP- (auf der 4. und 6. Version des IP-Protokoll basierend) und ARP-Paketgenerierung wird unterstützt. Zur Erstellung eines Paketes, wählen Sie den Typ aus dem Ausklappmenü Pakettyp. Die Standardwerte der Paketfelder werden automatisch ausgefüllt, sie können aber nachträglich geändert werden.

ICMP-, TCP-, UDP- und ARP-Pakete beinhalten verschiedene verkapselte Ebenen und das Interface des Optischen Paketerstellers ist entsprechend aufgebaut. Optionen die zu einer entsprechenden Ebene gehören werden in einem separaten Feld angezeigt. Zum Beispiel, ein TCP-Paket beinhaltet 4 Ebenen, QuellMAC- und ZielMAC-Adressfelder angeordnet im Ethernet II-Feld (Datenverbindungsebene) und Src Port- und Dst Port-Werte werden im TCP-Feld (Transportebene) angezeigt. Falls Sie ein Feld ausblenden möchten, klicken Sie auf den in der rechten Ecke des Feldkopfes angeordneten Button Aus-/Einklappen.

Beachten Sie, dass einige „Parental“ Ebenenwerte die Pakete auf tiefere Ebenen bewegen; daher kann die Modifizierung höherer Ebenen zur Erneuerung von unteren Ebenen eines Paketes führen. Deshalb führt eine Änderung des Protkolltyps im Ethernet II-Feld (Datenverbindungsebene) zur Erneuerung des gesamten Paketes. Eine andere Besonderheit die Sie beachten sollten, ist, dass die Werte einiger Felder abhängig vom Inhalt anderer Felder sind, ebenso wie der Dateninhalt tieferer Ebenen. Solche Felder sind: Checksummen und Kopflängen und/oder Daten der unteren Ebenen. Der Optische Paketersteller kalkuliert solche Werte automatisch. Immer wenn Sie ein nichtstandardisiertes Paket erstellen, können Sie verschiedene Werte manuell bestimmen, indem Sie die Checkbox Standardwerte überschreiben aktivieren und die gewünschten Werte festlegen.

Der Optische Ersteller hilft Ihnen die Korrektheit der erstellten Pakete, durch eine rote Hervorhebung der Köpfe und Felder, mit unkorrekten oder nichtstandardisierten Werten zu kontrollieren.

Trotz der Tatsache, dass der Optische Paketersteller nur interne Unterstützung für die TCP-, UPD-, ICMP- und ARP-Protokolle besitzt, können Sie doch Pakete damit bearbeiten, die andere Protokolle benutzen. Für solche Pakete können Sie den Hex-Editor zur Bearbeitung nutzen.

Ist ein Paket einmal erstellt, kann es gespeichert und anschließend wieder in den Optischen Paketersteller geladen werden. Benutzen Sie die jeweiligen Befehle aus dem Menü  Datei des Optischen Paketerstellers zum Laden/Speichern der erfassten Dateien. Sie können jede mit CommView for WiFi erfasste Datei (NCF) laden; immer wenn die Datei mehr als ein Paket enthält, wird nur das erste Paket geladen.

NIC Vendor (Hersteller) identifizieren

Die ersten 24 Bit der MAC-Adresse einer Netzwerkkarte identifizieren klar den Hersteller. Diese 24-Bit-Nummer wird OUI (Organizationally Unique Identifier) genannt. Der NIC-Hersteller-Identifier ist ein Werkzeug, das Ihnen ermöglicht, den Hersteller über die MAC-Adresse zu ermitteln. Um einen Hersteller zu finden, klicken Sie auf Werkzeuge => NIC-Herstelleridentifikation. Geben Sie eine MAC-Adresse ein und klicken Sie auf Finde. Sie sehen dann den Namen des Herstellers. Standardmässig ersetzt CommView for WiFi die ersten drei Oktets der MAC-Adresse durch den Herstellernamen der Netzwerkarte im Register Pakete. Dieses Verhalten kann unter Einstellungen => Allgemein durch deaktivieren der Checkbox Herstellernamen in MAC-Adressen anzeigen im Optionen-Dialog des Programms geändert werden. Die Herstellerliste ist in der Datei MACS.TXT im CommView-Anwendungsverzeichnis enthalten und kann manuell verändert werden. Sie können diese Liste manuell bearbeiten um Informationen hinzuzufügen oder zu modifizieren.

Scheduler

Mit diesem Dialog können Sie zeitgesteuerte Aufgaben erzeugen und editieren. Dies ist sinnvoll, wenn CommView for WiFi den Empfang selbstständig zu einem bestimmten Zeitpunkt aktivieren bzw. deaktieren soll, z. B. nachts oder am Wochenende. Eine neue Aufgabe fügen Sie mittels klicken auf Werkzeuge => Paketerfassungsplaner hinzu, dann klicken Sie auf den Button Hinzufügen.

Im Bereich Paketerfassung starten können Sie das Datum und die Uhrzeit festlegen, wann CommView for WiFi den Empfang starten soll. Mit der Dropdown-Liste Kanal wählen Sie den zu analysierenden WLAN-Kanal. Im Bereich Paketerfassung stoppen kann festgelegt werden, wann CommView for WiFi den Empfang beendet. Die Checkboxen Paketerfassung starten und Paketerfassung stoppen müssen nicht gleichzeitig aktiviert sein. Wenn nur die erste Checkbox aktiv ist, findet der Empfang bis zum manuellen Abbruch statt. Sie müssen zwar manuell starten wenn nur die zweite Box aktiv ist, CommView for WiFi stoppt dann aber automatisch zum angegeben Zeitpunkt.

Wenn CommView for WiFi schon Pakete empfängt und gleichzeitig ein anderer Adapter programmiert ist, bricht CommView for WiFi den Empfang ab, wechselt zum neuen Adapter und beginnt den Empfang erneut.

Es ist wichtig zu verstehen, dass zeitgesteuerte Aufgaben nur durchgeführt werden können, wenn CommView for WiFi aktiv ist.

Knotenzuordnung wiederherstellen

Durch die dynamische Natur der WPA-Verschlüsselung hilft allein das Wissen um die WPA-Passphrase auch nicht dabei, den Verkehr sofort nach Eingabe dieser Passphrase entschlüsseln zu können. Um WPA-verschlüsselten Verkehr entschlüsseln zu können muss CommView for WiFi laufen und während der Schlüsselaustauschphase schon Daten sammeln. Der Schlüsselaustausch läuft über das EAPOL-Protokoll. Mehr dazu unter Hintergründe der WPA-Enеschlüsselung.

Der Node Reassociation-Dialog kann dazu genutzt werden einen Schlüsselaustausch zu initiieren:

Picture 4

Dieser Dialog sendet eine Deauthentifikation-Anfrage über den Accesspoint an die ausgewählten Stationen. Dies führt zu einer Reassozierung mit dem Accesspoint. Dieser Prozeß dauert meist eine Sekunde und ermöglicht Commview for WiFi EAPOL-Pakete, die für die WPA-PSK-Entschlüsselung benötigt werden, zu empfangen.

Um die Reassoziation zu initiieren wählen Sie aus der Dropdown-Liste einen Accesspoint, dann die Stationen und klicken anschließend auf Senden. Die Optionen An alle Clients senden und An ausgewählte Clients senden verschickt Unicast-Pakete an ausgewählte oder an alle Clients. Die Option Broadcast senden sendet ein Broadcast-Paket an die Adresse FF:FF:FF:FF:FF:FF. Weil diese Option selbst unentdeckte Stationen behandelt, können manche Stationen unbestätigte Anfragen ignorieren. Wenn Sie mehrere Pakete verschicken möchten benutzen Sie die Checkboxen Pakete an senden und Intervall.

Remote Agent for WiFi einsetzen

CommView Remote Agent for WiFi ist ein Begleitprodukt, das zur Fernüberwachung von Nezwerkverkehr eingesetzt wird. Alles was Sie tun müssen, ist Remote Agent for WiFi auf dem Zielcomputer zu installieren und CommView for WiFi zur Verbindung zum Remote Agent zu benutzen. Sobald Sie sich verbunden und authenifiziert haben, können Sie mit der Überwachung starten als wären Sie vor Ort.

Dieses Kapitel beschreibt wie CommView for WiFi zur Verbindung mit Remote Agent for WiFi benutzt wird und Verkehr fernerfasst wird. Für detaillierte Informationen zur Installation und Konfiguration von Remote Agent, schauen Sie bitte in die Hilfedatei, die mit Remote Agent ausgeliefert wird. Es wird empfohlen, die Remote Agent-Dokumentation sorgfältig zu lesen, bevor Sie das Programm benutzen. CommView for WiFi kann von unserer Webseite heruntergeladen werden.

Zur Umschaltung in den Fernüberwachungsmodus, Klicken Sie auf Datei => Fernüberwachungsmodus. Eine zusätzliche Werkzeugleiste wird im Hauptfenster von CommView for WiFi in der Nähe der Hauptwerkzeugleiste eingeblendet. Falls Sie sich hinter einer Firewall oder Proxy Server befinden oder einen nichtstandardisierten Remote Agent-Port benutzen, können Sie auf die Schaltfläche Erweiterte Netzwerkeinstellungen klicken um die Portnummer zu wechseln und/oder die SOCKS5 Proxy Server-Einstellungen einzugeben. Der Dialog Erweiterte Netzwerkeinstellungen ermöglicht auch die Definition ob Remote Agent for WiFi die Filterregeln vor Ort übernimmt oder den gesamten erfassten Verkehr an CommView for WiFi sendet; dies wird detailliert später in diesem Kapitel diskutiert.

Picture 28

Klicken Sie auf den Button Neue Remote Agent Verbindung um eine neue Verbindung zu definieren oder klicken Sie auf den Button Remote Agent Profil laden um ein bereits vorhandenes Verbindungsprofil zu verwenden. Ein früher gespeichertes Profil kann ebenso aus dem Dialog Neue Remote Agent-Verbindung geladen werden.

Das Remote Agent-Verbindungsfenster wird eingeblendet. Geben Sie die IP-Adresse des Compuerts in den Eingabebereich für IP-Adressen ein, auf dem Remote Agent for WiFi läuft, geben Sie das Verbindungspasswort ein und klicken auf den Button Verbinden. Wenn das Passwort korrekt ist, wird eine Verbindung aufgebaut. Sie sehen dann die Nachricht Verbindung fertig in der Statusleiste und im Bereich Kanalauswahl werden die Kanäle aufgelistet, die durch der drahtlose Adapter des fernüberwachten Computers unterstützt werden. Zusätzlich zu der Kanalliste wird ein spezieller Scanner-Modus-Punkt als erster Punkt auf der Liste hinzugefügt.

Wenn Sie den Scanner-Modus auswählen, wird sich der drahtlose Fernadapter zyklisch durch die verfügbaren Kanäle bewegen und von jedem Kanal für einige Sekunden Daten erfassen. Die schmale, auf der rechten Seite des Fensters angeordnete Schaltfläche, gerade über dem Bereich Kanalauswahl, ermöglicht Ihnen die Scanner-Einstellungen zu regulieren. Klicken Sie auf diese Schaltfäche, um den im Scanner-Modus zuüberwachenden Kanal auszuwählen und den Interval einzustellen, z.B. die Sekundenanzahl pro Kanal.

Picture 29

Jetzt ist die beste Zeit, die Erfassungsregeln unter Benutzung des Registers Regeln im CommView for WiFi Hauptfenster zu konfigurieren. Sie können einen maßgeschneiderten Satz von Erfassungregln auf diese Verbindung übernehmen und die aktuellen, in CommView for WiFi definierten Regeln durch ankreuzen der Checkbox Überschreibe aktuellen Regelsatz überschreiben, klicken Sie auf die Schaltfäche Formel editieren und geben Sie im Eingabefeld unten die Formel für die Regeln ein. Die Formelsyntax ist die gleiche, wie sie in den Erweiterten Regeln benutzt wird. Sobald Sie zum überwachungsstart bereit sind, wählen Sie einen Kanal aus der Liste und klicken auf den Werkzeugleisten-Button Erfassung starten. CommView for WiFi ermöglicht Ihnen, für den späteren schnellen Zugriff, die Remote Agent-Verbindungseinstellungen als Verbindungsprofil zu speichern. Klicken Sie im Dialog Neue Remote Agent Verbindung auf den Werkzeugleisten-Button Remote Agent-Profil speichern und geben Sie einen Namen für die Datei ein.

Picture 50

CommView for WiFi wird starten, um den Verkehr des entfernten Adapters zu erfassen, als wäre es Ihr lokaler Netzwerkverkehr; da ist praktisch kein Unterschied zwischen der lokalen oder Fernnutzung von CommView for WiFi. Wenn Sie mit der Fernüberwachung fertig sind, klicken Sie auf den Button Erfassung stoppen. Sie können dann den Kanal wechseln oder durch Klicken auf den Werkzeugleisten-Button Trennen die Verbindung zu Remote Agent trennen. Zur Rückkehr in den Standardmodus, klicken Sie auf Datei => Fernüberwachungsmodus und die zusätzliche Werkzeugleiste wird eingeblendet.

Beachten Sie bitte, dass CommView for WiFi mit mehreren Remote Agents simultan arbeiten kann. Sie können verschiedene Fernverbindungen öffnen, einige haben ihre eigenen Einstellungen und einen unabhängigen Regelsatz und sammeln den Verkehr von fernüberwachten WLAN's in einer CommmView for WiFi-Instanz.

Effektive Nutzung des Remote Agent for WiFi

Der Schlüssel zur effektiven Remote Agent-Nutzung ist die Sicherstellung von genügend verfügbarer Bandbreite zur Übertragung der von Remote Agent gesammelten Daten an CommView for WiFi. Wie vorher erwähnt wurde, sollte Remote Agent auf einem Computer mit einem kompatibelen drahtlosen Adapter (für Überwachungszwecke) und Ethernet-Adapter (für die Verbindung zwischen Remote Agent und CommView for WiFi) installiert sein.

Standardmäßig sendet Remote Agent alle gesammelten Pakete an CommView for WiFi zurück, ungeachtet der Erfassungsregeln, die in CommView for WiFi konfiguriert sind. Dies ist zur Beschaffung korrekter statistischer Daten und Entschlüsselung nötig, sowie das Vermögen zur korrekten Identifikation von drahtlosen Knotenpunkten. Seit ein vollgeladenes WiFi-Netzwerk Bandbreiten von 1Gbit/s hat, ist es wichtig, dass die Kabelverbindung zwischen Remote Agent und CommView for WiFi zur Verarbeitung dieser Bandbreite in der Lage ist. In einer modernen Büroumgebung, wo Gigabit-Netzwerke alltäglich sind, kann ein einzelner Gigabit-Adapter leicht die Daten von einem Dutzend Remote Agents empfangen.

Es gibt Situationen, bei denen eine schnelle Verbindung Probleme darstellt. Zum Beispiel, wenn Sie ein entferntes WLAN über das Internet überwachen, kann keine hohe Bandbreitenverbindung zur Verfügung stehen. Selbst eine T3-Verbindung (4,5 Mbit/s) ist nicht ausreichend alle Pakete von einem mäßig belasteten WLAN zu übertragen. In solchen Situationen können Sie die Standardeinstellungen ändern und lassen Remote Agent die Pakete vor der Übertragung nach CommView for WiFi filtern. Die Schaltfäche [Erweiterte Netzwerkeinstellungen] auf der zusätzlichen Werkzeugleiste zur Fernüberwachung im CommView for WiFi-Hauptfenster, ermöglicht Ihnen die Option Bandbreite verringern einzuschalten. Ist diese Option eingeschaltet, wird der aktuelle CommView for WiFi-Regelsatz periodisch an Remote Agent gesendet. Dieser Regelsatz wird dann lokal übernommen, sodass nur Pakete, die den Regeln entsprechen an CommView for WiFi zurückgesendet werden. In diesem Modus kann unter Knoten kein Knoten angezeigt werden und das Register Kanäle zeigt keine volle Pro-Kanal-Statistik. Benutzen Sie diesen Modus dwshalb nur bei begrenzter Bandbreite, Sie aber trotzdem den Zugang zu Paketen eines entfernten WLAN benötigen.

Es wird sehr empfohlen, aus den gleichen Bandbreitengründen, KEINE drahtlose Verbindung für den Datenaustausch zwischen Remote Agent und CommView for WiFi zu benutzen. Es ist ebenso eine schlechte Idee, bei der Überwachung drahtloser Adapter, die durch den drahtlosen Adapter gesendeten Pakete aufzufangen und zur Kommunikation mit CommView for WiFi zu benutzen, wenn sie auf den gleichen oder geschlossenen Kanälen wirksam sind. Dies würde einfach einen Schneeballeffekt hervorrufen.

Wenn CommView Remote Agent mehr Daten erfasst, als es an CommView for WiFi senden kann, wird ein interner Puffer benutzt um die Pakete zu speichern, die nicht unmittelbar gesendet werden können. Die Puffergöße beträgt 5 Mbytes. Die Pufferauslastungsanzeige im Remote Agent-Fenster zeigt den aktuellen Pufferstatus an. Zum Beispiel, wenn das Programm 2,5 Mbytes Daten gepuffert hat, ist die Pufferauslastung 50%. Falls das Programm eine Pufferauslastung von 100% erreicht, wird die Datenpufferung gestoppt und erfasste Pakete verworfen bis wieder etwas Pufferspeicher frei ist.

Sicherheit

CommView Remote Agent for WiFi wurde mit einem Blick auf Sicherheit entwickelt. Es ist nur über ein Passwort zugänglich, welches niemals in Klartext übertragen wird und durch Benutzung eines Anfrage-/Antwortprotokolls mit einer sicheren Zerhackerfunktion abgesichert ist. Ist die Authentifizierung erfolgreich, wird der gesamte Verkehr komprimiert und und mit demselben Passwort verschlüsselt. Bitte treffen Sie Vorkehrungen zur Sicherung Ihres Passwortes. Sobald es durch eine unauthorisierte Person aufgedeckt wird, erlangt diese Person umfassende Fähigkeiten um Ihr Netzwerk zu untersuchen und Netzwerkverkehr des entfernten Computers abzufangen.

RPCAP verwenden

Dieses Kapitel beschreibt eine experimentelle Funktionalität, die wie erwartet funktionieren kann oder auch nicht; dies hängt von der konkreten Implementierung in Soft- und Hardware von Drittherstellern ab. Für diese Funktionalität wird keine Unterstützung angeboten.

Zusätzlich zur Funktionalität der Daten-Fernerfassung, die CommView Remote Agent anbietet, kann CommView for WiFi mithilfe des RPCAP auch den Netzwerkverkehr entfernter Computer erfassen. Dieses Protokoll wird von Hardware (z.B. Aerohive Access Points) und Software (z.B. WinPcap) unterstützt.

Um den Fernbeobachtungsmodus einzuschalten, wählen Sie Datei => Fernbeobachtungsmodus. Es erscheint eine zusätzliche Werkzeugleiste neben der Hauptwerkzeugleiste im Hauptfenster von CommView for WiFi. Klicken Sie auf Neue RPCAP-Verbindung, um ein Fernster für die neue Verbindung zu öffnen.

Um sich mit einem Ferngerät zu vernetzen, geben Sie dessen Hostnamen oder IP-Adresse ein, bestimmen Sie die Port-Nummer (standardmäßig verwendet RPCAP Port 2002), aktivieren Sie die Checkbox Benutzer-Authentifikation, geben Sie Benutzer-ID und Passwort ein, falls eine Authentifikation erforderlich ist, dann aktivieren Sie die Checkbox Vermischter Modus, falls dies der Erfassungsmodus ist, den Sie benutzen möchten. Klicken Sie auf Verbinden, um die Verbindung aufzubauen. Wenn die Verbindung aufgebaut ist, zeigt die Dropdown-Liste Adapter die optionalen Schnittstellen. Um die Datenerfassung zu starten, klicken Sie auf Paketerfassung starten.

Aruba Remote Capture verwenden

Dieses Kapitel beschreibt eine experimentelle Funktionalität, die wie erwartet funktionieren kann oder auch nicht; dies hängt von der konkreten Implementierung in Soft- und Hardware von Drittherstellern ab. Für diese Funktionalität wird keine Unterstützung angeboten.

Zusätzlich zur Funktionalität der Daten-Fernerfassung, die CommView Remote Agent bietet, kann CommView for WiFi auch den Netzwerkverkehr der Aruba-APs erfassen.

Um den Fernüberwachungsmodus einzuschalten, wählen Sie Datei => Fernbeobachtungsmodus. Es erscheint eine zusätzliche Werkzeugleiste neben der Hauptwerkzeugleiste im Hauptfenster von CommView for WiFi. Klicken Sie auf Neue Aruba Remote Capture Verbindung, um ein Fenster für die neue Verbindung zu öffnen.

Die Fernerfassung der Pakete kann man im AP durch die Befehlszeilenschnittstelle starten. Die Aruba-Fernerfassung benutzt die folgende Syntax:

pcap start <interface-mac> <target-ipaddr> <target-port> 4 <maxlen>

Beispiel:

pcap start 18:64:72:e3:6a:10 192.168.0.2 5000 4 2346

Nachdem Sie die Fernerfassung im AP konfiguriert haben, geben Sie die Port-Nummer an, die Sie ausgewählt haben, und klicken Sie auf Verbinden, um Pakete von Ihrem Aruba-AP zu erhalten.

Port Referenz

Das Fenster (Ansicht => Port-Referenz) zeigt eine Port-Nummerntabelle und die zugehörigen Servicenamen. Dieser Bezug wird aus der Datei SERVICES erhalten, die von Windows installiert wurde. Sie finden die Datei im Verzeichnis C:\windows\system32\drivers\etc. Sie können diese Datei manuell editieren, wenn sie mehr Portnummern/Services hinzufügen möchten. CommView for WiFi liest diese Datei beim Programmstart, so dass Ihre Änderungen erst nach einem Neustart des Programms aktiv werden.

Eisntellungen

Sie können einige Programmeinstellungen konfigurieren im Menü Einstellungen.

Allgemein

Speicherauslastung

Anzeige

Letzte IP-Verbindungen

Farben

Decodierung

VoIP

Das VoIP-Analysemodul ist nur für VoIP-Lizenz- oder Testversionsbenutzer verfügbar, die den VoIP-Testmodus gewählt haben.

Geo-Standort

Geo-Standort ist die Länderzuordnung für IP-Adressen. Wenn diese Funktionalität aktiviert ist, überprüft CommView for WiFi die interne Datenbank um die zugehörigen Ländernformationen für jede IP-Adresse. Sie können das Programm so konfigurieren, dass es den ISO-Ländercode, den Landesnamen oder die Landesflagge für jede IP-Adresse anzeigt. Sie können Geo-Standort auch deaktivieren. Für einige reservierte IP-Adressen (z. B. 192.168.*.* oder 10.*.*.*) kann keine Länderinforrmation zugeteilt werden. In solchen Fällen wird der Landesname nicht angezeigt, oder falls Sie die Option Landesflagge benutzen, wird eine Flagge mit einem Fragezeichen angezeigt.

Wenn die IP-Zuweisung ständig wechselt, ist es wichtig, dass Sie immer eine aktuelle Version von CommView for WiFi benutzen. Eine frische aktuelle Datenbank ist in jeder Ausgabe von CommView for WiFi. Eine frische Datenbank hat eine 98%ige Treffgenauigkeit. Ohne Updates fällt die Treffgenauigkeit jedes Jahr prozentual um ca. 15%.

Verschiedenes

Plug-Ins

Dieser Bereich wird für Plug-Ins von Drittherstellern benötigt um Konfigurationsaufgaben zu ermöglichen. Weitere Informationen finden sie unter Maßgeschneidertes Decoding.

Häufig gestellte Fragen

In diesem Kapitel finden Sie die Antworten auf einige der am häufigsten gestellten Fragen.


F1. Ich bin in einem WLAN und möchte meine eigenen ein- und ausgehenden Pakete ansehen. Welches Produkt brauche ich: Standard non-wireless CommView Edition oder CommView for WiFi?

A. Sie brauchen die Standard non-wireless CommView Edition. Damit können Sie Ihren eigenen Verkehr ansehen, können aber nicht den Verkehr anderer WLAN-Stationen sehen. Im Gegensatz zur Standard CommView Edition ermöglicht Ihnen CommView for WiFi andere WLAN-Stationen zu überwachen, Management frames zu erfassen, die Signalstärke anzuzeigen, usw.


F2. Brauche ich besondere Hardware um CommView for WiFi nutzen zu können?

A. Ja, Sie brauchen ein kompatibles WLAN-Adapter. Eine Liste kompatibler Adapter finden Sie unter https://www.tamos.com/download/main/ca. Zwecks Aktivierung der Überwachungsmöglichkeiten Ihres WLAN-Adapters, benötigen Sie die mit diesem Produkt mitgelieferten speziellen Treiber. Wenn CommView for WiFi nicht läuft, kann Ihr Adapter mit anderen WLAN-Hosts oder Accesspoints kommunizieren, so als würden Sie den Originaltreiber benutzen, den Sie vom Adapterhersteller bezogen haben. Wenn jedoch CommView for WiFi aktiviert ist, befindet sich Ihr Adapter in einem passiven, "promiskösen" Überwachungsmodus.


F3. Meine Karte ist nicht auf der Liste der unterstützten Hardware. Was kann ich tun?

A. Unsere Kompatibilitätsliste beinhaltet nur die Karten, die wir in unseren Labors getestet haben. Es gibt andere Karten, die mit CommView for WiFi kompatibel sein können. Der beste Weg, herauszufinden ob Ihre Karte kompatibel ist, ist unser Adapter-Testprogramm herunterzuladen und auf Ihrem Computer laufenzulasssen. Wenn ein kompatibler Adapter installiert ist, zeigt das Tool dessen Namen. Bevor Sie unser Testprogramm laufen lassen, stellen Sie bitte sicher, dass Sie den aktuellsten Treiber benutzen, der mit ihrem Computer oder Netzwerkadapter mitgeliefert wurde. Besuchen Sie deren Webseite, um die aktuellste Treiberversion herunterzuladen. Dies ist wichtig, weil der Test vom benutzten Treiber abhängig ist. Je neuer der Treiber ist, umso besser ist die Chance, dass er mit CommView for WiFi arbeitet. Zum Schluss, Sie können eine kompatibele Karte kaufen, die derzeitig nicht sehr teuer ist. Oder bestellen Sie eine verpackte CommView for WiFi-Version, die immer einen kompatiblen Adapter enthält.


F4. Welcher Adapter empfehlen Sie für die Verwendung mit Ihrer Anwendung?

A. Wir empfehlen, dass Sie die Liste der kompatiblen Hardware einsehen, die Sie hier finden https://www.tamos.com/download/main/ca. Bei Benutzung dieser Auflistung, wählen Sie den besten, auf der Anschlussform basierenden Adapter (USB, USB integriert usw.). Empfindlichkeit, unterstützte Windows-Version und unterstützte 802.11-Bänder. Ein 802.11ac-USB-Adapter ist allgemein die beste Wahl.


F5. Welche der unterstützten Adapter haben externe Antennenanschlüsse?

A. Alfa Networks AWUS1900 und Alfa Networks AWUS036ACM.


F6. Kann ich simultan Daten von mehreren Kanälen aufzeichnen?

A. Ja, wenn Sie verschieden unterstützte USB-Adater benutzen. Für weitere Informationen schauen Sie bitte ins Kapitel Mehrkanalerfassung.


F7. Ich habe einen speziellen Treiber für mein Adapter installiert und jetzt scheint mein Adapter abgeschaltet zu sein und ich kann mich nicht mit meinem Netzwerk verbinden, wenn ich CommView for WiFi geschlossen habe. Was kann das Problem sein?

A. Wenn Sie den Treiber für Ihr Adapter erneuern, können die Konfigurationseinstellungen (inkl. bevorzugte Netzwerke und Passwörter) verloren gehen, Sie müssen deshalb das Adapter rekonfigurieren. Wenn Ihr Adapter konfiguriert wurde und sich immer noch nicht verbinden kann, deaktivieren und aktivieren Sie es erneut im Gerätemanager, dies wird die Verbindungssfähigkeit wiederherstellen.


F8. Einige Kanäle im Fenster für die Kanalauswahl werden nicht aufgeführt. Ist das normal? Was ist, wenn ich will diese Kanäle überwachen?

A. Die Antwort hängt vom Adaptertyp und dem Betriebssystem ab.


F9. Kann man bei der überwachung eines WLANs sicher sein, dass man alle übertragenen Pakete empfängt?

A. Nein, und hier ist warum. Wenn eine WLAN-Station verbunden und authentifiziert ist, startet die Station bzw. der Accesspoint einen Prozess, Pakete erneut zu senden die nicht empfangen wurden oder auf dem Weg beschädigt wurden (z. B. durch Radiointerferenzen). Bei CommView for WiFi wird der WLAN-Adapter in einen passiven überwachungsmodus veresetzt. Deshalb kann das System keine Aufforderungen senden, bestimmte Pakete erneut zu versenden. Dies resultiert im Verlust einiger Pakete. Der Anteil der so verlorengegangenen Pakete variiert. Je näher Sie sich an der Station bzw. am Accesspoint befinden, desto weniger Pakete gehen verloren.


F10. Kann das Programm WPA- und WPA2-verschlüsselte Pakete entschlüsseln?

A. Ja, im WPA-PSK-Mode. Beide, TKIP (WPA) und AES/CCMP (WPA2) werden unterstützt. WPA3 kann nicht entschlüsselt werden. WPA3 benutzt die Passphrase nur zur Authentifizierung; Entschlüsselung ist unmöglich.


F11. Ich bin in einem WLAN mit hohem Verkehrsvolumen und es ist schwer einzelne Pakete zu untersuchen, wenn die Applikation hunderte oder tausende von Paketen pro Sekunde empfängt, weil die alten Pakete schnell aus der Pufferanzeige entfernt werden. Kann ich etwas dagegen tun?

A. Ja, Sie können den Button Aktuellen Puffer in neuem Fenster öffnen auf der kleinen Werzeugleiste des Registers Pakete benutzen. Das ermöglicht Ihnen bei jedem Intervall, soviele Schnappschüsse des aktuellen Puffers zu erstellen, wie Sie möchten. Sie werden dann in der Lage sein, die Pakete in den neuen Fenstern in Ihrer arbeitsfreien Zeit zu untersuchen.


F12. Ich habe das Programm gestartet, einen Kanal gewählt und mit der Erfassung begonnen, es werden jedoch keine Pakete angezeigt. Helfen Sie bitte!

A. Öffnen Sie zunächst das Register Pakete. Das Register Aktuelle IP-Verbindungen kann leer sein, wenn Sie keine korrekten WEP-Schlüssel eingegeben haben und Ihr WLAN WEP-Verschlüsselung anwendet. Wenn auch das Register Pakete leer ist, überprüfen Sie bitte die Statusleiste des Programms (status bar). Wenn der Paketzähler erhöht wird haben Sie aktive Regeln, die verhindern, dass das Programm Pakete anzeigt. Klicken Sie auf Regeln => Alle Rücksetzen und betätigen Sie dann die drei Werkzeugleisten-Buttons: Datenpakete erfassen, Managementpakete erfassen und Kontrollpakete erfassen. Wenn der Paketzähler in der Statusleiste nicht zunimmt, sind die WLAN-Stationen nicht aktiv oder es sind keine Accesspoints erkannt wurden. Wenn Sie vollkommen sicher sind, dass WLAN-Stationen oder Accesspoints existieren, melden Sie das Problem bitte an uns weiter.


F13. Kann CommView for WiFi NCF-Logdateien lesen, die von der CommView Non-Wireless-Standardedition stammen? Wie wäre es umgekehrt?

A. Ja, CommView for WiFi kann die von der Non-Wireless-Standardedition erzeugten NCF-Logdateien lesen. Die Non-Wireless- Standardedition kann ebenso die von CommView for WiFi erzeugten NCF-Logdateien lesen (und bald wird das Programm die aktuellesten NCFX-Lofdateien auch lesen), aber Sie können keine wireless-spezifischen Spalten sehen, wie z. B. die Signalstärke oder die Kanalnummer.


F14. Arbeitet CommView for WiFi auf Multi-Prozessor-Computern?

A. Ja.


F15. Es scheint unmöglich zu sein, mehr als 5000 Pakete vom Paketpuffer zu speichern. Gibt es eine Abhilfe?

A. Aktuell exististiert keine solche Begrenzung. Die Applikation benutzt einen Umlaufpuffer zur Speicherung erfasster Pakete. Standardmäßig kann der Puffer die letzten 5000 Pakete aufnehmen, aber dieser Wert kann über die Einstellungen  angepasst werden. Die maximale Puffergröße beträgt 20000 Pakete (der Puffer kann aus einem nahe liegenden Grund nicht unbegrenzt sein: Ihr Computer-RAM ist nicht unbegrenzt). Sie können den Pufferinhalt unter Benutzung des Registers Protokolle in eine Datei speichern. Diese Begrenzung der Puffergröße schränkt die Fähigkeit zur Speicherung einer Anzahl von Paketen keineswegs ein. Sie brauchen nur die automatische Protokollierung im Register Protokolle aktivieren. Eine solche automatische Protokollierung veranlasst die Applikation zur kontinuierlichen Ausgabe der erfassten Pakete in Dateien und Sie können eine Begrenzung der Gesamtgröße der erfassten Daten festlegen.


F16. Meine Firewall-Software warnt mich, dass CommView for WiFi versucht sich mit dem Internet zu verbinden. Ich weiß, dass manche Webseiten die Besucher tracken können, indem sie die Information sammeln, die durch das Programm über das Internet geschickt wird. Warum versucht CommView for WiFi sich mit dem Internet zu verbinden?

A. Drei Dinge können Ihre Firewall alarmiert haben. Das kann zum einen der Versuch sein, eine IP-Adresse in einen Hostnamen aufzulösen. Da CommView for WiFi Kontakt zu Ihrem DNS-Server hat um DNS-Anfragen durchzuführen, kann so unausweichlich ein Alarm ausgelöst werden. Dies können Sie unter Einstellungen => Optionen => Keine DNS Auflösung deaktivieren, dann werden aber keine Hostnamen mehr im Register Letzte IP-Verbindungen angezeigt. Es kann zweitens sein, dass Sie das Programm so konfiguriert haben, dass es nach Updates bzw. neueren Versionen sucht. Dabei verbindet sich CommView for WiFi mit www.tamos.com. Dies können Sie unter Einstellungen => Optionen => Versch. => Automatische Applikations-Updates aktivieren/deaktivieren. Drittens: Wenn Sie das Programm kaufen, müssen Sie es aktivieren. Falls Sie Online-Aktivierung wählen, muss CommView for WiFi sich mit www.tamos.com verbinden. Sie können dies umgehen, wenn Sie die manuelle Aktivierung auswählen. Dies sind die einzigen Gründe warum CommView for WiFi allenfalls eine Verbindung ins Internet herstellt. Es gibt keine versteckten Aktivitäten. Wir verkaufen keine Spyware.


F17. Ich bin oft als Benutzer und ohne administrative Rechte angemeldet. Muss ich mich um CommView for WiFi zu starten abmelden und als Administrator wieder anmelden?

A. Nein. Sie können das CommView for WiFi-Verzeichnis öffnen, rechtsklicken Sie dann auf CA.exe während Sie Shift gedrückt halten und wählen Sie dann Ausführen als… aus dem Kontextmenü. Geben Sie den administrativen Login und das Passwort ein und klicken Sie dann auf OK um das Programm zu starten. Unter Windows Vista und höher startet CommView for WiFi automatisch mit erhöhten Rechten.


F18. Bei der Rekonstruktion von TCP-Sitzungen die japanische oder chinesische HTML-Seiten beinhalten kann ich den Originaltext nicht sehen.

A. Zur Anzeige ostasiatischer Sprachen sollten Sie ostasiatische Fonts installieren. Öffnen Sie Systemsteuerung => Ländereinstellungen, wählen Sie das Register Sprachen und aktivieren Sie die Checkbox Dateien für ostasiatische Sprachen installieren.


F19. Ich bin etwas verwirrt durch die für CommView for WiFi verfügbaren Lizenztypen. Können Sie die Unterschiede zwischen den Lizenztypen erklären?

A. Zwei Lizenztypen sind gegenwärtig für CommView for WiFi verfügbar: die Standardlizenz und die VoIP-Lizenz. Die teurere VoIP-Lizenz erlaubt alle Applikationsfunktionen, inklusive des VoIP-Analysers, während die Standardlizenz den VoIP-Analyser nicht freigibt.

Zusätzlich ist die Standardlizenz auch als Jahresabonnement verfügbar, was eine zeitlich limitierte Lizenz darstellt, gültig für 1 Jahr ab Kaufdatum.

CommView for WiFi ist auch als verpacktes Produkt erhältlich. Verpackte Produkte beinhalten einen kompatiblen drahtlosen Adapter und einen USB-Stick. Im Preis enthalten ist der UPS-Basis-Versand.

Andere Lizenzbedingungen und Konditionen entnehmen Sie bitte der mit dem Produkt gelieferten Endbenutzerlizenz.


F20. Kann ich Ton vom VoIP-Analyser in eine Standard-.wav- oder .mp3-Datei speichern?

A. Nicht direkt, aber er gibt eine Menge Hilfsmittel auf dem Markt, die ein "virtuelles Audiokabel" anbieten, welches alles in eine Datei speichert, was Ihre Soundkarte abspielt. Versuchen Sie zum Beispiel, Xilisoft Sound Recorder (benutzen Sie den Modus "Was Sie hören").