当网络中有N个网段,但我们只想分析其中的某些网段时,就需要对网段进行过滤,这样有利于数据的采集。
网上最近讨论这个的也比较多,综合起来提到的方法有三种(IP地址、值、模式匹配),但经过对其分析后,发现,目前为止,在常见的网络协议分析软件(这里以Sniffer pro, Omnipeek, 科来网络分析系统为例)中,只有IP地址的方法是切实可行的。
下面我们来看为什么第1种可行,而后面两种不可行。
1.第一种方法,直接在简单过滤器中进行设置
此种情况下的过滤条件是:软件首先检查该数据包是否是IP数据包,如果不是IP数据包,则直接丢弃,如果是IP数据包,再检查相应的IP地址字段是否与设定过滤条件吻合,如果吻合,则匹配,否则,丢弃该数据包。
2.第二种方法,通过值(Value)高级过滤设置
原因:只匹配了偏移量,没有进行协议匹配,在这种情况下,某些非IP数据包,而恰好偏移量和值都与我们的设定相吻合,也会被软件捕获,但实际上,这种数据包并不符合我们的要求。
如下面的图,过滤器设置和捕获到的数据包(此数据包为手动模拟产生,设定偏移量30,偏移值60,以此举例)。
3.第三种方法,通过模式匹配(Pattern)高级过滤设置
原因:同第2种一样。
下面我们看看第1种,即通过IP地址的方法实现IP网段的数据过滤。
Omnipeek,方法如下:
科来网络分析系统,方法如下:
Sniffer,弹出错误对话框,不支持对IP网段的设置。
[ 本帖最后由 菜鸟人飞 于 2006-5-26 10:58 编辑 ] |
发表于 2006-5-26 10:56:36
发表于 2006-5-26 14:43:35
