TamoSoft: Network Analysis Tools & Security Software
Contents

CommView Help Documentation


    Return to the main product page
 
Introducción
Acerca de CommView
Novedades
Utilizando el Programa
Perspectiva General
Seleccionar Interfaz de Red para Monitoreo
Últimas Conexiones IP
Paquetes
Registro
Visor de Registros
Reglas
Reglas Avanzadas
Alarmas
Reconstrucción de sesiones TCP
Estadísticas y Reportes
Utilizando Alias
Generador de Paquetes
Identificar el Fabricante de la Tarjeta
Planificador
Utilizando Remote Agent
Capturar Tráfico Loopback
Configurando opciones
Respuestas a Preguntas Frecuentes
Temas Avanzados
Capturando un volumen elevado de tráfico
Trabajando con Multiples Instancias
Ejecutando CommView en Modo Oculto
Parámetros de Línea de Comandos
Intercambiando datos con su aplicación
Decodificación Personalizada
Formato de Archivos de Registro de CommView
Información
Como Adquirir CommView
Contactenos
Otros productos por TamoSoft
Respuestas a Preguntas Frecuentes


En este capitulo, usted puede encontrar respuestas a algunas de las preguntas más frecuentes. Las últimas respuestas a las preguntas más frecuentes se encuentran disponibles en la dirección http://www.tamos.com/products/commview/faq.php.

P. ¿Puede CommView ser utilizado para capturar tráfico de adaptadores telefónicos?

R. Si, Windows 98/Me/2000/XP/2003.

P.¿Que es lo que "ve" exactamente CommView cuando está instalado en una PC conectada a una LAN?

R. CommView habilita el modo promiscuo de la tarjeta de red y puede capturar el tráfico de red en su segmento local de la LAN. En otras palabras, normalmente él mismo captura y analiza los paquetes dirigidos hacia todos los computadores en ese segmento, no solo al de la computadora que está ejecutándose. Existen ciertas limitaciones para adaptadores Wireless Ethernet (puede solo monitorear tráfico entrante/saliente) y redes switcheadas (vea la siguiente pregunta acerca de switches).

P. Estoy conectado a una LAN mediante un switch, y cuando inicio CommView, este captura solo los paquetes enviados a y desde mi maquina. No puedo ver el tráfico de otras maquinas. ¿Por qué sucede esto?
R. A diferencia de los Hubs, Los switches previenen capturas promiscuas. En un ambiente de red con swiches, CommView (u otros analizadores de paquetes ) están limitados a capturar paquetes broadcast o multicast y el tráfico enviado o recibido por la PC donde CommView está corriendo. Sin embargo, los switches más modernos soportan port mirroring "espejado de puertos", el cual es un dispositivo que le permite configurar el switch para redireccionar el tráfico que pasa por alguno o todos los puertos al que sea designado puerto de monitoreo sobre el switch. Utilizando esta función, será capaz de monitorear el segmento entero de la LAN. Hemos escrito un informe técnico, Monitoreo Promiscuo en Redes Ethernet y Wi-Fi
(Disponible en Inglés), que cubre estos temas en detalle

P. Bueno, Estoy conectado a la LAN a través de un Hub, pero no puedo ver tráfico de otras máquinas, de nuevo, si este no es un switch. ¿Por qué pasa esto?
R. Hay dos razones posibles: o tiene un hub que dice solo Hub, pero interiormente es un switch (algunos fabricantes como Linksys hacen esto) o tiene un hub multi-velocidad, en cuyo caso no puede ver el tráfico desde las estaciones que operan a una velocidad diferente de la velocidad de su NIC (por ejemplo si tiene una NIC de 10 Mbit, no puede ver trafico generado por NICs de 100 Mbit.

P. Tengo una LAN hogareña conectada a Internet mediante un router de banda ancha, y solo puedo ver mi propio tráfico. ¿Es posible capturar el tráfico de otras maquinas sobre mi LAN Hogareña?
A. En resumen, si. Hay algunos métodos que pueden ayudar a resolver este problema. Para más información y diseños de redes de muestra, por favor refiérase a nuestro documento, Monitoreo Promiscuo en Redes Ethernet y Wi-Fi
(disponible en Inglés)

P. Puede CommView capturar datos desde una tarjeta de red que no tiene una dirección IP?
R. Sí. De hecho, una tarjeta de red no necesita estar asociada con TCP/IP o cualquier otro protocolo. En esa situación donde está tratando de solucionar problemas en la red puede ser necesario tener la capacidad de conectar la computadora ejecutándose CommView en un puerto disponible de un hub. En estos casos no necesita adivinar una dirección IP disponible en este segmento de LAN, todo lo que necesita es desasociar el adaptador de red de TCP/IP y comenzar la captura. En Windows 2000/XP/2003 abra el Panel de Control => Conexiones de Red, apriete el botón derecho en el icono de la conexión, seleccione propiedades, y desmarque los elementos correspondientes a los protocolos que usted quiere que no estén asociados con su adaptador de red. En Windows 9x Panel de Control => Red, seleccione TCP/IP => su adaptador de Red, haga clic en Eliminar, y luego reinicie.

P. Estoy sobre una LAN con alto volumen de tráfico, y es difícil examinar paquetes individuales cuando la aplicación está recibiendo cientos de miles de paquetes por segundos, dado que los paquetes viejos son rápidamente quitados del buffer circular. ¿Hay algo que pueda hacer?
R. Si, puede usar el botón Abrir el buffer actual en ventana nueva sobre la pequeña barra de herramientas en la pestaña Paquetes. Esto le permitirá hacer instantáneas del buffer actual tantas veces como desea, en cualquier intervalo. Luego podrá explorar los paquetes en esta nueva ventana a su ritmo.


P. Yo he iniciado el programa e hice clic sobre "Iniciar Captura", pero ningún paquete es mostrado. ¿Por qué?
R. Hay dos causas posibles: Seleccionó un adaptador de red que no se encuentra utilizado, o cometió un error cuando definió las reglas de captura. Desactive las reglas y vea que pasa. En cualquier caso, incluso cuando las reglas de captura están activas, la barra de estado del programa debería mostrar el número total de paquetes, por lo tanto revíselo antes de entrar en pánico.

P. He notado que el checksum de IP/TCP/UDP en los paquetes salientes es incorrecto. ¿Por qué sucede esto?.
R. Los nuevos adaptadores de red Gigabit tienen un dispositivo llamado TCP/UDP/IP "checksum offload", el cual le permite al adaptador de red calcular el checksum de los paquetes, de esta manera aumenta el rendimiento del sistema y disminuye la utilización de CPU. Dado que CommView intercepta los paquetes antes de que alcancen el adaptador de red, el checksum parece ser incorrecto. Esto es normal y la única cosa que puede estar afectada es la reconstrucción de sesiones TCP y solo si cambia la opción por omisión "Ignorar checksums incorrectos cuando se reconstruyen sesiones TCP
", (para mayor información vea Opciones de Configuración).

P. CommView, ¿Corre en computadoras múlti-procesador?
R. Si, lo hace.

P. Mi conexión de red es utilizando un MODEM cable/xDSL. ¿CommView será capaz de monitorear el tráfico sobre el?
R. Si su MODEM tiene una interfaz dual USB/Ethernet y puede conectar este a la tarjeta Ethernet, CommView ciertamente capturará tráfico sobre él. Si esta tiene solo interfaz USB, lo mejor que puede hacer es tratar.

P. Mi software de firewall me alerta que CommView está "tratando de acceder a Internet" Sé que algunos sitios son capaces de rastrear usuarios recolectando la información enviada por sus programas sobre Internet. ¿Por qué CommView "intenta acceder a Internet"?
R. Dos actividades podrían estar alertando a su firewall. Primero, podría ser un intento de resolver direcciones IP en nombres de host. Dado que CommView tiene que contactar su servidor DNS para hacer una consulta DNS, este inevitablemente activará la alarma. Puede desactivar este dispositivo (Preferencias=> Opciones=> desactivar resolución DNS), pero en este caso, la pestaña de Últimas Conexiones IP no va a ser capaz de mostrar los nombres de Host. Segundo, podría tener configurado que el programa verifique si hay disponibles actualizaciones o nuevas versiones. Para hacer esto, CommView tiene que conectarse a www.tamos.com
. Puede desactivar este dispositivo (Preferencias=> Opciones=> Misc. => Activar aplicación automática de actualizaciones). Estas son los dos únicos tipos de conexiones que CommView puede potencialmente hacer. No hay otras actividades ocultas. No vendemos spyware

P. Bajo Windows 2000/XP/2003 Estoy generalmente registrado como un usuario sin privilegios de administrador. ¿Tengo que cerrar la sesión y volver a iniciar la sesión como administrador para poder ejecutar CommView?
R. No, usted puede abrir la carpeta de CommView, apretar el botón derecho del mouse sobre el archivo CV.exe mientras mantiene apretada la tecla "Shift", y seleccione "Ejecutar como" desde el menú que aparece. Ingrese el usuario administrador y la contraseña en la ventana que aparece y seleccione OK para ejecutar el programa.

P. Tengo Windows 2000, y cuando desinstalo el programa, recibo el mensaje: "CommView ahora desinstalará los controladores. Haga clic en "OK" para continuar. Esto puede tomar entre 10 y 60 segundos." ¡Pero después nada ocurre!
R. Esto puede suceder si existen conexiones activas de red cuando intentaba desinstalar su programa. Usted debería deshabilitar temporalmente todas las conexiones activas como se muestra a continuación:

netdisable

Tan pronto como la(s) conexión(es) se deshabiliten, CommView continuará con el proceso de desinstalación. Una vez que la desinstalación se haya completado, usted puede habilitar estas conexiones.

P. Tengo Windows 2000 Server, y CommView no me permite seleccionar ningún otro adaptador a no ser "Loopback".
R. Esto sucede si instala CommView sobre una conexión Terminal Services. La solución es simple: Reinicie el servidor, y todos los adaptadores de red estarán disponibles en la casilla de selección de adaptador de CommView.

P. Tengo Windows 2000/2003 Terminal Server, y tengo un problema corriendo CommView desde un Cliente de Terminal Services.
R.La única limitación es que el adaptador puede ser abierto por un usuario al mismo tiempo. En otras palabras, dos usuarios (locales o remotos) no pueden capturar tráfico desde el mismo adaptador mediante la ejecución de dos instancias de CommView bajo el mismo servidor.

P. ¿Puede CommView monitorear un adaptador de red cuando corre bajo Microsoft Virtual PC?
A. Sí. La única limitación es que el modo promiscuo no está disponible para adaptadores virtuales, por lo que estará limitado a capturar sólo sus propios paquetes y los paquetes broadcast.

P. Cuando monitoreo mi conexión telefónica, no veo ningún paquete PPP durante la sesión set up (CHAP, LCP, etc). ¿Es esto normal?
R. Lo lamentamos, los paquetes de protocolo PPP solo pueden ser capturados bajo Windows 98/ME, CommView no puede capturar ese tipo de paquetes bajo Windows 2000/XP/2003. Advierta que todos los otros paquetes PPP que siguen al proceso de conexión inicial son capturados.


P. ¿Puedo intercambiar tarjetas de PC en mi notebook mientras CommView está ejecutándose?
R. No, es más seguro cerrar CommView, luego cambiar su tarjeta, y reiniciar el programa. La lista de adaptadores será actualizada automáticamente.



P. ¿Hay conflictos conocidos con otros programas?

Actualmente conocemos sobre conflictos con los siguientes programas:

·SoftIce de Numega: Puede provocar un posible colapso del sistema  
·PGPNet 7.0 by NAI: Hay un conflicto de "controlador de dispositivo de bajo nivel" resultando en la pantalla azul de error fatal bajo Windows 2000 si PGPNet está contiguo al adaptador telefónico.  
·Sygate Personal Firewall: Un conflicto de controlador de dispositivo resultando en la Pantalla Azul de Error Fatal bajo Windows 2000/XP si está tratando de monitorear un adaptador de discado y utilizando CommView 3.3 o anteriores. Si está monitoreando una tarjeta Ethernet , no será afectado, este problema fue solucionado en CommView 3.4.  
·McAfee Personal Firewall: Posible caída del sistema. También, McAfee Personal Firewall podría nunca más asginar tráfico a apliicaciones.  


Si piensa que ha descubierto un conflicto con una aplicación no listada precedentemente, estaremos muy agradecidos si nos lo informa.

P. ¿Tengo que ser profesional para utilizar este programa?
R. No. Nosotros esperamos que incluso los usuarios inexperimentados lo encuentren útil. Usted no tiene que usar todas las funciones. Por ejemplo, incluso principiantes pueden estar interesados en tener un panorama completo de las conexiones de Internet y LAN desde y hacia sus PCs, o encontrar que el programa instalado ayer era de hecho un Troyano que envía contraseñas de acceso remoto hacia ciertas direcciones de e-mail.

P. ¿Donde puedo encontrar un buen "preguntas frecuentes" sobre captura de paquetes y análisis de protocolos?

R. Revise estos sitios:

Sniffing (network wiretap, sniffer) Preguntas Frecuentes


Protocols.com


Guía de CommView