Ход работы. Рассмотрим программное средство CommView (http://www.tamos.ru/products/commra/) компании TamoSoft в качестве анализатора протоколов

Рассмотрим программное средство CommView (http://www.tamos.ru/products/commra/) компании TamoSoft в качестве анализатора протоколов. Для работы в учебных целях будем использовать 30-дневную пробную версию программы. В рамках этого срока функционал CommView не ограничен, и программа может реализовать большинство требуемых функций анализатора.

Перед началом работы анализатора необходимо выбрать сетевой интерфейс (сетевую карту) через меню «Настройки \ установки» и начать захват сетевых пакетов через меню «Файл \ начать захват».

Если захват пакетов успешно стартовал в главном окне программы, то отразится сетевая статистика. Пример приведен на рис.1

Рис. 1 Сетевая статистика пакетов ЛВС.

Статистика на рис. 1 отражает получателей сетевых пакетов (колонка удаленный IP), отправителей (локальный IP), число пакетов, направление, порты по которым происходит обмен и другую информацию по сетевым пакетам.

На вкладке «Пакеты» главного окна программы можно получить детальную информацию по содержанию сетевого пакета, выбрав его из перечня как на рис. 2. На рисунке выбран пакет с номером 67 протокола IP/TCP. В центральной части окна указаны основные параметры пакета (внутренний номер пакета, протокол, МАК-адреса и др.) Справа указана детальная информация с декодированием структуры пакета, которая приведена в нижней части окна.

Рис 2. Детальное изучение сетевого пакета.

Часто анализ всей статистики малоэффективен из-за большого числа не требуемых нам для исследования пакетов. Это потребуется для настройки некоторых правил фильтрации сетевых пакетов, для упрощения задачи мониторинга и анализа.

Пример настройки правил приведен на рис. 3. В качестве примера создано правило для игнорирования при сборе сетевых пакетов с широковещательным МАС- адресом. Для этого необходимо перейти на вкладку «Правила», подвкладку «МАС-адреса» далее поставить галочку «Включить правила для МАС-адресов» и ввести МАС-адрес FF FF FF FF FF FF. Указать «Добавить запись» в любом направлении и в качестве «Действия» игнорировать. С более подробным синтаксисом написания правил можно ознакомиться в справочной системе программы (через главное меню «Справка») или нажав клавишу F1.

Рис 3. Настройка правил фильтрации сетевых пакетов.

Иногда возникает необходимость реакции на появление некоторого условия, например при адресации от одного IP-адреса к другому. В этом случае потребуется настроить предупреждения на соответствующей вкладке. Синтаксис предупреждения целиком аналогичен созданию правила. Так например для возникновения предупреждения при адресации IP=172.16.4.21 к IP=172.16.4.22 необходимо добавить в текст предупреждения: (sip=172.16.4.21 and dip=172.16.4.22) or (sip=172.16.4.22 and dip=172.16.4.21) и указать сообщение для показа (на рисунке это «Предупреждение1»). Таким образом можно отслеживать пакеты по некоторым условиям и реагировать на них.

Рис 4. Настройка и работа предупреждений.

Программа позволяет настроить число отражаемых пакетов в главном окне программы, остальная информация будет записана в файлы журнала и помещена в сводную статистику.

При необходимости просмотра все пакетов это можно сделать через главное меню «Файл \ Просмотр log- файлов». Параметры log-файлов можно настроить на вкладке log-файлы.

Для отражения общей картины по сетевым пакетам можно воспользоваться расширенной статистикой через главное меню «Вид \ Статистика»

Рис. 5 Детальная статистика по сетевым пакетам.

В программе возможно на основе данных статистики сгенерировать HTML-отчет. Для этого в окне «Статистика» на вкладка «Отчет» необходимо проверить и при необходимости настроить параметры отчета и нажать кнопку «Просмотреть». Пример формы настройки отчета приведен на рис 6.

Рис.6 Настройка HTML-отчета по статистике.

После нажатия кнопки «Просмотр» откроется HTML-страница с данными статистики с учетом выбранных параметров настройки. Пример страницы приведен на рис. 7