|
|
| |
|
|
| Interpretation der aufgezeichneten Daten |
Distinct Network Monitor enthält eine Reihe von Features, die es erleichtern, den Teil der Daten zu betrachten, der am wichtigsten für Sie ist. Er enthält sowohl allgemeinere Anzeige-Optionen, die über den Menupunkt Display Settings im Menu Configure festgelegt werden können, als auch sehr spezifische Anzeige-Optionen die verfügbar werden, sobald Sie mit der rechten Maustaste auf ein spezifisches Paket in einem der Network Monitor-Fenster klicken. Wenn Sie z.B. im Summary-Fenster auf ein Paket mit der rechten Maustaste klicken, erhalten Sie die folgenden Optionen:
|
| |
Display only Packets of this Connection |
|
Diese Option ist sehr nützlich, wenn Sie sich schnell einen Überblick über alle Pakete verschaffen möchten, die zu einer bestimmten TCP-Verbindung gehören. Bitte beachten Sie, dass diese Option nur zur Verfügung steht, wenn es sich bei dem betreffenden Paket um ein TCP-Paket handelt. Wenn Sie z.B. durch das Summary-Fenster scrollen und ein Problem entdecken (ein Paket, gekennzeichnet mit einem schwarzen oder weissen “X”), verwenden Sie die rechte Maustaste und wählen Sie diese Option. Jetzt werden nur noch Pakete angezeigt, die zu dieser speziellen TCP-Verbindung gehören. Die Standard-Einstellung für die Anzahl der Verbindungen, die überwacht wird, ist 64. Dieser Wert kann aber, abhängig vom zur Verfügung stehenden Arbeitsspeicher, über das Advanced Configuration-Tab, erhöht bzw. erniedrigt werden. Beachten Sie, dass Sie Network Monitor schliessen und erneut starten müssen, falls Sie diesen Wert ändern.
|
| |
Display Highest Protocol Summary |
|
Dies ist die Standardeinstellung für das Summary-Fenster und bewirkt, dass das Protkoll der höchsten Ebene für ein Paket im Summary-Fenster angezeigt wird. Wenn es sich bei dem betreffenden Paket z.B. um ein FTP-Paket handelt, wird dies hier dargestellt.
|
| |
Display Lowest Protocol Summary |
|
Diese Option bewirkt, dass das Protokoll der niedrigsten Ebene für ein Paket im Summary-Fenster angezeigt wird. Zum Beispiel Ethernet, Token Ring oder PPP.
|
| |
Color Code Packets of the same Connection |
|
Alle Pakete die zur selben Verbindung gehören, erhalten die gleiche Farbkodierung. Mit dieser Option können Sie die Farbkodierung der Verbindungen abschalten. Die Farbkodierung ist sehr nützlich, da sie es ermöglicht, schnell zwischen den Paketen der einzelnen Verbindungen unterscheiden zu können.
|
| |
Display Header Fields |
Mit dieser Option können Sie festlegen, welche Header-Fields im Summary-Fenster angezeigt werden sollen. Network Monitor merkt sich Änderungen, die hier vorgenommen werden und wendet sie in allen folgenden Aufzeichnungen an.
 |
Die folgenden Header-Felder können ausgewählt werden:
Packet Number
Dies ist die Sequenz-Nummer für das Paket. Dieser Wert beginnt bei jeder neuen Aufzeichnung mit 1.
Length
Gibt die Gesamtlänge für das Paket an.
Date and Time
Zeigt Aufzeichnungsdatum und –zeit für das Paket an.
Time (in seconds)
Liefert die verstrichene Zeit zwischen Aufzeichnungsbeginn und dem Zeitpunkt an dem das Paket aufgezeichnet wurde.
Delta (in seconds)
Liefert die Zeit in Sekunden, die seit der Aufzeichnung des letzten Pakets verstrichen ist. Dies kann nützlich sein, wenn Sie Round Trip-Zeiten überprüfen möchten.
|
Source MAC Address
Die MAC-Adresse des Rechners, der das Paket gesendet hat. Bitte beachten Sie, dass wenn es einen Proxy-Server im Netzwerk gibt, dies die Adresse des Proxy-Servers ist.
Destination MAC Address
Die MAC-Adresse des Rechners, der das Paket empfangen hat.
Source IP Address
Dies ist die IP-Adresse des Rechners, der das Paket versendet hat. Bitte beachten Sie, dass wenn es einen Proxy-Server im Netzwerk gibt, dies die Adresse des Proxy-Servers ist.
Destination IP Address
Dies ist die IP-Adresse des Rechners, der das Paket empfangen hat.
Source Port
Die Port-Nummer über die das Paket versendet wurde.
Destination Port
Die Port-Nummer über die das Paket empfangen wurde.
TCP Sequence
Die TCP-Sequenznummer wird von den am Transfer beteiligten Maschinen verwendet wird, um die Pakete und Bytes im Datenstrom zu identifizieren. Die TCP-Sequenznummer stellt sicher, dass alle Daten korrekt übertragen werden. Für jede neue Verbindung legen Sender und Empfänger jeweils eine Startsequenznummer fest, die dann subsequent mit der Anzahl der übertragenen Nutzlastbytes erhöht wird.
TCP Acknowledgement
Die TCP-Bestätigungsnummer ist die letzte TCP-Sequenznummer, die erhalten wurde plus 1. Diese Nummer ist nur gültig, wenn das ACK-Flag gesetzt ist.
TCP Flags
Im TCP-Header kann eine oder mehrere der folgenden 6 Flags gesetzt werden:
U – Urgent Pointer Flag. Dieses Flag wird z.B. von Protokollen wie Telnet und Rlogin verwendet, um dem Client anzuzeigen, dass ein Teil des Inhalts des Pakets sofort verarbeitet werden muss (möglicherweise noch vor der Abarbeitung von Daten, die sich noch im Buffer befinden für den Socket). Dieses Flag wird benutzt, um z.B. Control-Zeichen (wie ^C für Interrupt), zu versenden, die sofort verarbeitet werden sollten.
A – ACK-Flag. Das Acknowledgment-Flag deutet an, dass alle bisher empfangenen Daten korrekt empfangen wurden und die ACK-Nummer gültig ist. Für jedes Paket ausser dem ersten in der Verbindung muss dieses Flag gesetzt sein.
P – Push Flag. Das Flag deutet normalerweise an, dass der Sender für den Moment mit dem Senden von Daten fertig ist, und die Empfangsmaschine ihren Empfangsbuffer jetzt "flushen" (leeren) kann und alle sich noch im Buffer befindlichen Daten an die betreffende Anwendung weiterreichen sollte. Dieses Flag wird häufig missbräuchlich verwendet und einige Protokolle bzw. Implementierungen versenden alle Pakete mit diesem Flag gesetzt.
R – Reset Flag. Dieses Flag wird gesetzt, wenn ein Paket empfangen wird, mit dem die empfangende Maschine nichts anzufangen weiss. Es wird z.B. verwendet, wenn trotz eines versendeten FIN-Flags weiterhin Daten-Pakete über eine bestimmte Verbindung empfangen werden. Das Reset-Flag kann auch verwendet werden, wenn eine Verbindung schnell beendet werden soll. Es fordert die andere Seite auf, keine neuen Pakete mehr über diese Verbindung zu versenden.
S – SYN-Flag. Das SYN-Flag wird nur während des Verbindungsaufbaus verwendet und bewirkt unter anderem, dass beide Maschinen ihre Empfangsbuffer "synchronisieren".
F – FIN Flag. Deutet an, dass der Sender alle zu versendenden Daten versendet hat und die Verbindung jetzt beendet werden kann. Die Verbindung wird gekapt, sobald alle eventuell noch von der anderen Maschine zu versendenden Daten, versendet wurden.
TCP Window
Dies ist die TCP-Fenstergrösse. Sie gibt den verbleibenden Platz im TCP-Empfangsbuffer für diese betreffende Verbindung an. Empfangene Daten werden von TCP nicht sofort an die Anwendungsschicht weitergeleitet, sondern zunächst in diesem Buffer zwischengespeichert.
Description
Liefert eine kurze Beschreibung zum Paketinhalt. Zum Beispiel kann es mitteilen, dass das betreffende Paket ein FTP-Paket ist und das STOR-Kommando enthält.
|
| |
Daten-Pakete und Ports |
Distinct Network Monitor parst die im Netzwerk versendeten Daten-Pakete und liefert ihnen eine Interpretation der Paketinhalte in Form von natürlicher Sprache.
Die Entscheidung darüber welcher Parser für welches Paket verwendet werden muss, wird über die Portnummer gefällt. Standardmässig geht Network Monitor davon aus, dass alle Protokolle ihren Default-Port verwenden. Pakete die über den Port 23 versendet werden, werden also z.B. als Telnet-Pakete interpretiert. Zusätzlich liest Network Monitor Portnummern aus dem Service-File des Systems aus, auf dem er läuft und verwendet diese Portnummern ebenfalls zum Parsen von Paketen. All dies kann aber unter Umständen noch nicht genug sein, um alle Pakete einer Aufzeichnung parsen zu können. Zum Beispiel besteht die Möglichkeit, dass ein System sich mit einem FTP-Server verbindet, der die Portnummer 42 anstelle der Default-Portnummer 21 für FTP verwendet. Damit Network Monitor Pakete dieser Verbindung parsen kann, müssen Sie ihm explizit mitteilen, dass der Port mit der Portnummer 42 ebenfalls zum Parsen von FTP-Paketen verwendet werden soll. Sie können dies tun, indem Sie im Menu Configure den Menupunkt Ports auswählen und dann das Protokoll, dem eine zusätzliche Portnummer zugewiesen werden soll. Im Falle unseres Beispiels wäre dies FTP. Sobald Sie FTP ausgewählt haben, können Sie in einem der verbleibenden Text-Felder eine zusätzliche Portnummer angeben.
Wenn Sie zusätzliche Ports für ein spezielles Protokoll definieren, können Sie ebenfalls angeben, ob die Portnummern nur für diese Aufzeichnung gültig sein sollen oder für alle Aufzeichnungen.
|
| |
Suchen in einem Netzwerk Capture-File |
|
Mit Hilfe der in Network Monitor eingebauten Suchfunktion können Sie problemlos nach einem bestimmten Text-String in ihrer Aufzeichnung suchen. Wählen Sie einfach den Menupunkt Search Packet aus dem Menu Capture, oder benutzen Sie die Tastenkombination STRG+S, und geben Sie im darauf folgenden Fenster den String an, nachdem Sie suchen möchten.
|
| |
Speichern von Teilen einer Datei unter anderem Namen |
Sie können eine Aufzeichnungs-Datei auf die Sie einen Filter angewendet haben unter anderen Namen speichern. Sie können auch einen Bereich von Paketen einer Aufzeichnung unter anderem Namen speichern. Wenn Sie z.B. eine grosse Aufzeichnungs-Datei haben und ihr Problem zwischen den Paketen mit der Nummer 5900 und 6100 vermuten, speichern Sie diesen Bereich in einer separaten Datei. In der neuen, kleineren Datei fällt die Navigation wesentlich leichter. Um eine gefilterte Datei bzw. einen Paket-Bereich zu speichern, gehen Sie bitte folgendermassen vor:
- Wählen Sie die Save As-Option aus dem File-Menu.
- Geben Sie den Namen an, unter dem Sie die neue Datei speichern möchten. Stellen Sie sicher, dass die neue Datei die Endung ".cap" erhält.
- Wenn Sie den betreffenden Paket-Bereich mit der Maus markiert haben, wird automatisch der von ihnen gewählte Bereich verwendet. Ansonsten markieren Sie entweder All packets bzw. geben Sie für die Option Packets From den Paket-Bereich an der gespeichert werden soll.
- Klicken Sie auf Save, um die Datei zu speichern.
Anmerkung: Sie können auch Paket-Bereiche speichern, die nicht direkt aufeinander folgen. Verwenden Sie den Shift oder Ctrl-Key zusammen mit der linken Maustaste zur Markierung der Bereiche, und wählen Sie dann Save As aus dem Menu File.
|
<<< Inhaltsverzeichnis >>>
|
|
|
