CommView to zaawansowany sniffer, badający ruch przechodzący przez wskazany interfejs sieciowy – kartę sieciową lub modem analogowy/ISDN. Ta ostatnia funkcja wymaga zainstalowania dodatkowego sterownika, można to jednak z łatwością zrobić za pomocą odpowiedniego polecenia menu programu.
CommView 4.0 |
Wymagania: Windows 9x/Me/NT 4.0/2000/XP, ok. 4 MB na dysku |
+ zaawansowane reguły filtrowania + różnorodne statystyki ruchu + obsługa łączy modemowych |
Cena: od 129 USD www.tamos.com | www.sniff-tech.com |
Zanim rozpoczniemy korzystanie z aplikacji, powinniśmy ustawić zakres jej działania. Służy do tego karta Zasady, gdzie niezwykle szczegółowo wskazujemy rodzaj pakietów, które będą przechwytywane przez CommView. Wybieramy nie tylko rodzaj protokołu, ale i adresy MAC kart sieciowych, adresy IP zdalnych hostów i porty używane do połączeń itd. Możemy nawet określić takie parametry pakietu, jak flagi TCP, wpisać fragment zawartości pakietu lub ustalić własną regułę filtrowania. W tym ostatnim przypadku korzystamy z prostego języka opisu pakietów, udostępnianego przez narzędzie (karta Zasady | Zaawansowane).
Po ustawieniu reguł filtrowania pakietów wystarczy kliknąć przycisk Rozpocznij przechwytywanie. Oprócz szczegółowych informacji o każdym pakiecie (włącznie z nagłówkami wszystkich warstw sieciowych), pasującym do zadanych reguł, możemy uzyskać różnorodne statystyki ruchu dla danego interfejsu. Przydatny w praktyce okazuje się moduł alarmów, pozwalający odpowiednio zareagować (np. poprzez wysłanie maila do administratora czy uruchomienie określonej aplikacji) na pojawienie się w sieci podejrzanego pakietu.
Program wyposażono w wiele dodatkowych narzędzi, takich jak generator listy otwartych portów lokalnej maszyny, narzędzie do rekonstrukcji sesji TCP na podstawie przechwyconych pakietów, generator pakietów itp. Wszystkie informacje są logowane, a zestawy regułek filtrowania możemy zapisać w pliku. CommView wyposażono w tryb pracy zdalnej, w którym właściwą część zadań wykonuje agent umieszczony na zdalnej maszynie (funkcję tę spełnia sprzedawany osobno program o nazwie CommView Remote Agent), a lokalnie zainstalowana aplikacja (CommView) pełni jedynie funkcję interfejsu użytkownika.
Opisywany program to prawdziwy wielofunkcyjny “kombajn”, który można z czystym sumieniem polecić każdemu administratorowi sieci opartej na serwerach i/lub stacjach roboczych z systemem Windows. Chociaż CommView jest zasadniczo przeznaczony do badania ruchu przechodzącego przez router sieciowy bądź wykrywania “podejrzanych” pakietów krążących w sieci lokalnej, z powodzeniem możemy go też użyć do śledzenia połączenia modemowego, np. w roli prostego systemu kontroli włamań (IDS).