过滤器详细设置
最近在论坛上看到有些朋友对科来网络分析系统的过滤器设置比较感兴趣,前几天也发过类似的文章,可能介绍的不是很详细,这几天又对过滤器进行了一番学习,并请教了科来软件的官方技术人员,对过滤器的设置又有了不小的进步。下面,我就对过滤器设置的详细方法与大家分享一下,如果有什么不对的地方欢迎大家批评与指正,毕竟,大家多交流才会有进步!
过滤器的作用相信大家都已经比较清楚了,这里就不再作介绍,我们重点讨论的是对过滤器的详细的设置方法。打开过滤器对话框,可以看到如图1的界面:
(图1 过滤器对话框)
在该对话框中,系统默认没有设置过滤器,这样,就会捕获和分析网络中传输的所有的数据包。当我们需要分析某些特定的数据包时,就需要设置过滤器来捕获我们需要的数据。如果要添加过滤器,可以单击“添加”按钮,单击该按钮后,会有 “新过滤器”以及“从过滤器表”两个选项,我们首先介绍一下“新过滤器”选项。单击“新过滤器”按钮,则会出现如图2的对话框:
(图2 新过滤器对话框)
在该对话框中,又分为简单过滤器和高级过滤器两种方式。我们先来看简单过滤器,从图2的对话框中可以看到,简单过滤器有3种方式来设置过滤条件,分别是:地址过滤、端口过滤以及协议过滤。
地址过滤:地址过滤可以按物理地址,IPv4地址,IPv4范围,IPv4子网4种模式进行设置。比如我们要捕获网络中某个IP地址(如192.168.0.10)的数据包,只需要在地址1中选择IPv4地址,然后输入这个IP地址,方向为双向,地址2为任意地址,这样就可以捕获192.168.0.10这个IP地址所有进出的数据包。当然,如果只需要捕获单向的数据,可以选择地址1到2或者地址2到1。地址过滤如图3所示:
(图3 地址过滤)
端口过滤:端口过滤类似于地址过滤,有单个端口、端口范围以及多端口3种模式进行设置。如果我们需要捕获21,53以及80三个端口的数据,在端口1中选择多端口,然后输入端口值,端口之间用分号隔开,方向选择双向,端口2选择任意端口,这样就可以捕获使用这3个端口的所有的数据包。端口过滤如图4所示:
(图4 端口过滤)
协议过滤:如果要使用协议过滤,单击“选择”按钮,则会弹出如图5的对话框:
(图5 协议过滤器)
该对话框中,列出了系统目前支持的所有的协议,可以从该表中选择需要过滤的协议,可以选择一种,也可以选中多种来进行过滤。如图,我们选择了ARP 的Request和Response,在捕获中,则只会捕获和分析这两种数据包。协议过滤如图6所示:
(图6 协议过滤器)
以上介绍的是设置简单过滤器的几种方式,下面,我们再来讨论一下高级过滤器的设置方法。单击高级过滤器标签栏,就会弹出高级过滤器设置对话框,如图7所示:
(图7 高级过滤器对话框)
高级过滤器除了地址过滤、端口过滤和协议过滤外,还包括数据包值、数据包大小以及数据包模式匹配共6种方式进行过滤设置。这6种方式又可以通过“与”,“或”,“非”3种逻辑关系进行组合,从而可以设置出各种比较复杂的过滤器以满足我们的要求。对地址、端口以及协议的过滤前面已进行了介绍,这里,我们来讨论一下数据包值、数据包大小以及数据包模式匹配3种过滤条件的设置。
首先,我们来看数据包值过滤器的设置过程。单击“与”或者“或”的下拉菜单,选择数据包值,则会弹出图8的对话框:
(图8 数据包值过滤器)
在该对话框中,我们首先每个字段的含义:
长度:指定该数据包的长度,以字节为单位;
偏移量:通俗的说是表示该数据包在整个数据包中的位置;
掩码:指定了该数据包的掩码;
字节序:分为网络字节与主机字节,表示数据包的传输顺序,一般都是以网络字节序传输;
操作:有6种模式,分别为:=,>,>=,<,<=,!=;
值类型:有5种类型:二进制,八进制,有符号十进制,无符号十进制,Hex;
值:指定该数据包具体的值;
在图8的对话框中,我们设置的是捕获TCP同步数据包的过滤器。因为在对TCP协议解码的时候我们可以知道,TCP的标志位长度为1字节,在数据包中的偏移量为47,掩码是0x02,二进制值为10,所以通过这样的设置就能捕获到网络中的同步数据包。同时,除了以设置过滤器的方式来捕获同步数据包以外,还有一种更为简捷的方法,就是通过生成过滤器的方式来进行捕获,在对TCP解码时,右键单击标志位的同步位,点击“生成过滤器”,系统则会自动生成一个捕获TCP同步数据包的过滤器,非常简便。设置过程如图9所示:
(图9 生成过滤器)
然后,我们再来看看对数据包大小过滤器的设置。单击“数据包大小”选项,弹出如图10的对话框:
(图10 数据包大小过滤器)
数据包大小过滤器的设置则比较简单,可以对数据包的值按<,<=,>,>=,=以及某个数据范围来进行设置以捕获相应大小的数据包。
接着,我们再来看看数据包模式匹配过滤器的设置。单击“数据包模式匹配”,则会弹出如图11的对话框:
(图11 数据包模式匹配)
在该对话框中,类型指的是编码类型,有以下4种:ASCII,HEX,UTF-8,UTF-16;匹配指的是某种应用的特征码;完全匹配,如果选中此项,则表示必须与特征码完全匹配;开始偏移:表示数据包在整个数据包中开始的位置,默认值为0;结束偏移:则指的是数据包的结束位置,默认值为1518;
至此,我们已讨论了设置过滤器的几种方式,最后,我们举例设置一个过滤器来加深对过滤器的理解。这里设置了一个如图12所示的过滤器:
(图12 设置过滤器)
该过滤器设置的是捕获IP范围是192.168.1.1—192.168.1.100中使用HTTP协议或使用80端口的主机,并且不捕获IP为192.168.1.1的数据。
最后,我们来看一下文章开始提到的在“添加”按钮中,有个“从过滤器表”的选项,单击该选项,弹出的是如图13所示的对话框:
(图13 过滤器表)
这是系统内置的关于协议的过滤器表,我们可以直接从该表中选择所需要的过滤器,同时,还可以添加新的协议过滤器到该表中,以便以后直接使用。在过滤器表中,可以选择一个过滤器,也可以选择多个过滤器,多个过滤器之间为“或”关系,即满足其中任意一个的数据包都将被捕获。
关于过滤器的设置,我们就讨论到这里,有说得不对的地方希望大家能不吝赐教,大家一起学习,一起进步吧。
[ 本帖最后由 lbzxy 于 2007-11-16 16:15 编辑 ] |
发表于 2007-11-16 16:10:55
