CSNA网络分析论坛»首页 流量分析产品区 科来产品 [原创]Sniffer、Omnipeek、科来网络分析系统过滤器比较 ...
12下一页
返回列表 发帖
查看: 61199|回复: 54

[原创]Sniffer、Omnipeek、科来网络分析系统过滤器比较之位过滤。

[复制链接]
菜鸟人飞
发表于 2006-5-19 15:56:48 | 显示全部楼层 |阅读模式
在捕获数据包时,有时候需要对一个字节中的某一个位进行精确匹配,这时,我们就需要用到位过滤。位过滤相对于地址、端口、协议过滤而言,是一种比较高级的条件过滤,其主要用于捕获某种特殊应用的数据通讯。
下面我们分别使用Sniffer、Omnipeek、科来网络分析系统,来学习位过滤的设置方法,这里我们以捕获TCP同步数据包(TCP三次握手第一步的数据包)为例。
我们知道,TCP标志位在Ethernet II数据包中的偏移量是47(Ethernet II报头14,IP报头20,TCP源端口2,TCP目标端口2,TCP序列号4,TCP确认号4,TCP偏移量1,即14+20+2+2+4+4+1=47)。TCP标记位中同步位为1的数据包,就是TCP同步位置包,下面是一个TCP同步数据包的解码图(只截取了TCP标志部分),可以看到,TCP同步数据包的值是TCP标志位的值是10(二进制)或02(16进制)或2(10进制,8进制)。
。。。。。。

完整PDF版下载。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

菜鸟人飞
 楼主| 发表于 2006-5-19 15:59:38 | 显示全部楼层
Sniffer、Omnipeek、科来网络分析系统过滤器比较之位过滤

在捕获数据包时,有时候需要对一个字节中的某一个位进行精确匹配,这时,我们就需要用到位过滤。位过滤相对于地址、端口、协议过滤而言,是一种比较高级的条件过滤,其主要用于捕获某种特殊应用的数据通讯。
下面我们分别使用Sniffer、Omnipeek、科来网络分析系统,来学习位过滤的设置方法,这里我们以捕获TCP同步数据包(TCP三次握手第一步的数据包)为例。
我们知道,TCP标志位在Ethernet II数据包中的偏移量是47(Ethernet II报头14,IP报头20,TCP源端口2,TCP目标端口2,TCP序列号4,TCP确认号4,TCP偏移量1,即14+20+2+2+4+4+1=47)。TCP标记位中同步位为1的数据包,就是TCP同步位置包,下面是一个TCP同步数据包的解码图(只截取了TCP标志部分),可以看到,TCP同步数据包的值是TCP标志位的值是10(二进制)或02(16进制)或2(10进制,8进制)。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

菜鸟人飞
 楼主| 发表于 2006-5-19 16:01:03 | 显示全部楼层
根据上图TCP标记的解码信息,我们在上述三种最常用的分析软件中设置TCP同步数据包的过滤器。
1. Sniffer
打开Sniffer的过滤器,选择Data Pattern选项卡,单击Add Pattern按钮,弹出Edit Pattern对话框,并进行如下图所示的设置。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

菜鸟人飞
 楼主| 发表于 2006-5-19 16:01:45 | 显示全部楼层
2. Omnipeek
选择“View-Filters”,单击Insert按钮,打开Omnipeek的过滤器,在弹出的对话框中选择高级过滤器(Advanced),并选择“And-Value”,并进行如下图所示的设置。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

菜鸟人飞
 楼主| 发表于 2006-5-19 16:02:15 | 显示全部楼层
3. 科来网络分析系统
单击工具栏上的“过滤器”按钮,打开系统的过滤器窗口,单击“添加-新过滤器”,在弹出的对话框中选择高级过滤器,并选择“与-数据包值”,并进行如下图所示的设置。
  
从上面可以看出,三种网络分析软件都可以实现要求,但却略有不同。
Sniffer不能对位进行过滤,只能精确到字节(或许Sniffer可以用其它方法实现,但我未找到),虽然设置值后也可捕获到所须数据包,但这样会降低捕获的效率,对于其它的某些情况,或许还可能导致出现错误的信息。
Omnipeek添加了位偏移,能对位进行过滤,可以精确捕获所需的数据包,有效满足我们的需要,且提高捕获效率,不过Omnipeek中这里的值只能是10进制。
科来网络分析系统也添加了位移,能对位进行过滤,可以精确捕获所需的数据包,有效满足我们的需要,且提高捕获效率,另外在科来网络分析系统中,值的类型可以是16进制、10进制(无符号、有符号)、2进制、8进制。
总结:个人认为,在位偏移这个功能上,科来网络分析系统和Omnipeek值得称道,而Sniffer则应该加强。

CSNA网络分析论坛 菜鸟人飞
2006-5-19

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

CCSP
发表于 2006-5-19 16:10:42 | 显示全部楼层
国产的 也不错哈~

学习ING
回复

使用道具 举报

wfu_liuxh
发表于 2006-5-20 07:35:07 | 显示全部楼层
看来版主对协议分析软件还是很内行的。我正在学习科来的网络分析系统。希望能多介绍有关使用、解读、分析方面的有关文章。谢谢了。
回复

使用道具 举报

快乐3幸福4
发表于 2006-5-22 11:15:15 | 显示全部楼层
虽然没看特别明白,但对Sniffer的支持有点下降了!
回复

使用道具 举报

学生
发表于 2006-5-22 15:19:06 | 显示全部楼层
不错啊,这下好了,下一个看看
回复

使用道具 举报

土豆
发表于 2006-5-23 14:22:58 | 显示全部楼层
文中的偏移量是什么意思呢?
回复

使用道具 举报

超级版主
发表于 2006-6-5 11:31:17 | 显示全部楼层
位比较,是一种高级过滤了,在一些特殊的情况下是非常有用的。
回复

使用道具 举报

菜青虫
发表于 2006-6-5 11:47:19 | 显示全部楼层
我的理解是
换种简单的说法
位偏移:就是字段中的某一位在字段中的位置

和IP数据报中的分段偏移有点类似的理解,
分段偏移量:一个分段在IP数据报中的位置
回复

使用道具 举报

lisoftware
发表于 2006-6-8 17:29:47 | 显示全部楼层
那个土豆是MM?
叫哥哥!!!
呵呵。
回复

使用道具 举报

peterhu318
发表于 2006-7-10 17:29:16 | 显示全部楼层

ETHEREAL的过滤功能非常强大[个人观点]

楼主说的三种软件没用过,不过看过之后,发现还是不如ETHEREAL的功能强大。

一、以上三种软件的设置不如ETHEREAL方便实用。它是通过只接输入或者通过右键点击某一个位置来实现的,非常容易

二、对于位比较(如找出SYN,ACK,或是两都的组合),它提供了&操作,非常实用。

三、Ethereal还支持正则表达式,够强大吧?(不知道正则表达式吗?那就不知道正则表达式的强大了,找个UNIX用户或者PERL用户问问就知道了)

四、它还可以在IP包内容或者特定协议包内容里找数据进行匹配

举一例子: 写一个过滤MSN的消息的:MSN消息以MSG 然后是数字序号,然后是N,你试试能写出来吗?注意数字可能是两位数,也可能是3位数,不定长。
呵呵,要想看一个软件的过滤功能强大与否,你可以试着写一个只显示MSN的消息的包,这样你就知道哪一个功能的强大了。我发过一个贴子,可以按PETERHU318用户来SEARCH到。

当然,软件各有千秋!

[ 本帖最后由 peterhu318 于 2006-7-10 17:34 编辑 ]
回复

使用道具 举报

菜鸟人飞
 楼主| 发表于 2006-7-11 10:56:56 | 显示全部楼层
首先,楼上所述我非常赞同,于是不得不承认Ethereal过滤功能的强大,更不得不佩服peterhu318对Ethereal的精通。

peterhu318兄所说的以下几点,几个分析软件都能实现的,同时对于实现的难易度,我保留一点个人的意见,也许是个人使用习惯不同的缘故。

一、以上三种软件的设置不如ETHEREAL方便实用。它是通过只接输入或者通过右键点击某一个位置来实现的,非常容易

这一点我不敢苟同peterhu318兄的意见,相比Ethereal的手动命令方式写过滤条件,我更喜欢其它几种软件的图形化界面设置。

二、对于位比较(如找出SYN,ACK,或是两都的组合),它提供了&操作,非常实用。

其它三种软件提供的“与”“或”“非”,完全能够轻易满足该要求,且以图形化界面方式操作。

三、Ethereal还支持正则表达式,够强大吧?(不知道正则表达式吗?那就不知道正则表达式的强大了,找个UNIX用户或者PERL用户问问就知道了)

该点Ethereal的确强大,但其它三种软件提供的模式匹配,应该也可以完成该功能吧?

四、它还可以在IP包内容或者特定协议包内容里找数据进行匹配

科来的值过滤,模式匹配过滤,可轻易完成该功能。

举一例子: 写一个过滤MSN的消息的:MSN消息以MSG 然后是数字序号,然后是N,你试试能写出来吗?注意数字可能是两位数,也可能是3位数,不定长。
呵呵,要想看一个软件的过滤功能强大与否,你可以试着写一个只显示MSN的消息的包,这样你就知道哪一个功能的强大了。我发过一个贴子,可以按PETERHU318用户来SEARCH到。

哪一个强大,我们不在此讨论。
peterhu318兄所举的例子,在科来中,使用图形化的高级过滤器,即可轻易实现。
你可以试试的哦。
回复

使用道具 举报

jingshne
发表于 2006-7-11 11:49:58 | 显示全部楼层
ETHEREAL和前面三种软件从最初的出发点开始就已不一样,从而现在所面对的使用群体也就不一样了,因此也就决定了它与这三种软件之间不存在可比性.就像飞机和火车,同为运输工具,可它们之间是不好比较的.

所以,只能飞机跟飞机比,火车跟火车比才更为妥当一些.

事实上,上面这些软件,都是俺常备工具包,一个都不能少!!
回复

使用道具 举报

土豆
发表于 2006-7-11 15:09:07 | 显示全部楼层
原帖由 jingshne 于 2006-7-11 11:49 发表
ETHEREAL和前面三种软件从最初的出发点开始就已不一样,从而现在所面对的使用群体也就不一样了,因此也就决定了它与这三种软件之间不存在可比性.就像飞机和火车,同为运输工具,可它们之间是不好比较的.

所以,只能 ...

版主回答精僻啊。
回复

使用道具 举报

haiwanxue
发表于 2006-7-12 23:24:22 | 显示全部楼层
Sniffer不能对位进行过滤,只能精确到字节(或许Sniffer可以用其它方法实现,但我未找到)


没有详细看你说的位过滤是什么意思
不知道下图能否满足你的要求

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×

评分

1

查看全部评分

回复

使用道具 举报

土豆
发表于 2006-7-13 09:53:19 | 显示全部楼层
楼上用的Sniffer是什么版本的?
回复

使用道具 举报

jingshne
发表于 2006-7-13 10:06:20 | 显示全部楼层
原帖由 土豆 于 2006-7-13 09:53 发表
楼上用的Sniffer是什么版本的?


不是什么版本,只是格式选择了二进制!
回复

使用道具 举报

菜鸟人飞
 楼主| 发表于 2006-7-13 14:06:10 | 显示全部楼层
haiwanxue,强人!
是的,就是这个意思,我以前对Sniffer掌握的少,还不知道可以这现这个,失败啊,
多谢多谢,望以后能多向你学习Sniffer的知识。
回复

使用道具 举报

zszhw
发表于 2006-8-6 00:00:38 | 显示全部楼层
虽然没看特别明白,但对Sniffer的支持有点下降了!
回复

使用道具 举报

sundyuan
发表于 2006-8-6 00:34:02 | 显示全部楼层
支持科来,更加强大,谢谢
回复

使用道具 举报

ylbkcx
发表于 2006-8-21 16:00:28 | 显示全部楼层

回复 #1 菜鸟人飞 的帖子

正缺这个东西呢,谢谢了
回复

使用道具 举报

fadu
发表于 2006-8-25 19:11:23 | 显示全部楼层
科来网络分析系统 我选择 我喜欢
回复

使用道具 举报

zhang_ming
发表于 2006-9-9 10:44:06 | 显示全部楼层
本人偏爱SNIFFER

只因其功能实在是太强大了

愧于自身的英文实在太差,也支持国产,从国产入手,向SNIFFER进攻
回复

使用道具 举报

waterhy
发表于 2007-1-4 16:21:08 | 显示全部楼层
5楼里面掩码0x02是什么意思?
回复

使用道具 举报

delphis
发表于 2007-2-24 12:46:42 | 显示全部楼层
楼主太厉害了  
回复

使用道具 举报

szlb
发表于 2007-6-6 15:34:04 | 显示全部楼层
正在学习Sniffer,看来科来也不错,可以试试。
回复

使用道具 举报

3605582255
发表于 2007-8-5 13:05:41 | 显示全部楼层
加强!!!!!!!!!!
回复

使用道具 举报

下一页 »
12下一页
返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表