[原创]科来网络分析系统过滤器设置详解

lbzxy

科来网络分析系统过滤器设置详解
最近，使用了科来网络分析系统的过滤器，觉得这是一个很不错的功能，可以通过添加各种条件或者条件的组合来对过滤器进行设置，以捕获我们需要的特定的数据包。
在开始进行数据捕获之前，我们首先应该先确定需要哪些数据，以便在过滤器中进行设置，来达到快速捕获特定数据包的目的。如果没有设置过滤器，那么将会捕获网络中所有传输的数据包。那么，下面我们就来看看过滤器的设置过程。
在软件主界面的工具栏上，点击“过滤器”按钮，打开过滤器设置界面，如图1所示：


（图1）

    在该界面中，默认是没有设置过滤器的，所以，如果要添加新的过滤器，则需要单击“添加”按钮来进行添加。单击该按钮过后，会有两个选项，分别是“新过滤器”以及“从过滤器表”。“新过滤器”表示自定义一个全新的过滤器；而“从过滤器表”则表示从系统本身默认的一个过滤器表中进行条件的添加，如图2所示：


（图2）

   这是系统默认的一个协议过滤器表，可以从该表中添加需要过滤的协议或协议的组合。以此来捕获我们需要的相关协议的数据包。如果选择了“新过滤器”，则会出现如图3的界面：


（图3）

添加新过滤器又分为两种：简单过滤器和高级过滤器。图3显示的是简单过滤器的设置界面，从该界面中，可以看到有3种过滤方式，分别为：地址过滤、端口过滤以及协议过滤，这3种条件的设置都比较简单，下面我们重点讨论一下高级过滤器的设置。点击高级过滤器标签项，出现如图4的界面：


（图4）

高级过滤器提供有“与”、“或”、“非”3种逻辑关系来对添加的各种条件进行组合。在 “与”和“非”的下拉菜单中，又提供了6种过滤条件，如图5所示：


（图5）
如果我们要设置捕获一个网络（比如192.168.1.10¬—192.168.1.50）中所有使用QQ或MSN的主机并且排除192.168.1.16的过滤器，则可以设置如下，如图6所示：


（图6）

如果要对数据包值或数据包大小或者数据包匹配模式设置过滤条件，则可以根据在对数据包进行解码时的数据情况进行设置。比如我们要捕获网络中所有TCP同步连接的数据包，则可以进行如下设置，如图7：


（图7）

因为在对TCP解码的时候我们可以知道，TCP的标志位长度为1字节，在数据包中的偏移量为47，掩码是0x02，二进制值为10，所以通过这样的设置就能捕获到网络中的同步数据包。
总之，过滤器的设置灵活多变，通过设置过滤器，可以快速的捕获到我们所需要的特定的数据包，从而进行定点的分析。

[ 本帖最后由 lbzxy 于 2007-11-14 11:26 编辑 ]

网络新人

多谢！不过好像没完呢！下面呢？一步一步跟你学．

lbzxy

对，是这样的，写的不是很完整，有时间我会再和大家一起讨论。

网络新人

大哥，有没有这样的教程能一步一步教的，科来网站上介绍的太笼统了。多谢你的回复。

lbzxy

论坛里有很多关于科来的资料以及视频动画教程，你可以搜一下的。大家一起学习吧。

qihuanok

你们搞的，我什么都看不懂。。。
我要好好的学习，你们一定要关照我哦。。

菜鸟人飞

原帖由 lbzxy 于 2007-11-14 11:25 发表
对，是这样的，写的不是很完整，有时间我会再和大家一起讨论。

楼主要是能把过滤器的每种过滤条件进行一个详细的介绍就更好了。

lbzxy

原帖由 菜鸟人飞 于 2007-11-15 13:55 发表

楼主要是能把过滤器的每种过滤条件进行一个详细的介绍就更好了。

版主说的非常对，现在我已经对过滤器的每一种过滤条件都进行详细的介绍，http://www.csna.cn/forum.php?mod=viewthread&tid=6199。
希望有兴趣的朋友可以看看，同时希望大家多提意见，多交流啊。

wub1230

要学的还很多啊！
现在只是初步了解

webshare

谢谢。。。。又可以学到东西啊

mypath

这些东西其实只要你网络基础知识扎实，操作起来是没什么问题的

nhao

谢谢，这次算是可以用这个功能啦，学习了。

xiaoqi827

说的对，基础知识扎实了，都好理解

shifor1983

楼主好强啊
  好好学习下

zhujj116

呵呵，我也是很迷糊，过来想找一下相关的资料!

linxr25

原来还有这么多设置，又学会了

xyzl7477

下载学习中......................................