关于过滤器的建议

oldjiang

帖子http://www.csna.cn/forum.php?mod=viewthread&tid=7704，TCP连接同步多而成功的少，想从工程中筛选出同步数据包，看看都有哪些会话。为此做了如下操作：
1、随便找一个HTTP的同步包，在IP层的上层协议处点右键生成TCP过滤器，在TCP层的同步位点右键生成SYN过滤器，两个过滤器都分别导出保存。
2、将工程文件导出为Packet Capture File
3、导入刚才导出的Packet Capture File
4、应用过滤器筛选数据，这时就遇到了一个问题，添加过滤器-高级过滤器不能导入第一步建立的两个过滤器，虽然可以手工加，但毕竟不方便。如果使用导入按钮，则得到的结果如图7，不是想要的。
建议：在高级过滤器--与--数据包模式匹配的后面增加一个导入菜单

[ 本帖最后由 oldjiang 于 2008-2-18 00:18 编辑 ]

从零开始

强烈佩服版主，向版主学习这种钻研精神。
我是这样做的，就可以筛选出工程中的同步数据包：
1、打开源工程文件，设置好同步数据包的过滤器；
2、导出源工程中所有的数据包；
3、在科来中新建一个工程文件，然后导入刚才的数据包，就可以按刚才设置的过滤器过滤数据，从而只查看同步数据。

oldjiang

请二楼上传过滤器看看，附件是我的过滤器即图7中的tongbu，使用该过滤器会得到http://www.csna.cn/forum.php?mod=viewthread&tid=7704工程的UDP包。另外我想问问1.PNG中掩码0×02的意思是“第二位为1”还是“第二位为1且第一位为0”，我觉得是前者。2.png是使用tongbu过滤器导入的数据状态，3.PNG可见含UDP数据，4.PNG是一个UDP-NETBIOS-DATAGRAM SERVICE数据包。

[ 本帖最后由 oldjiang 于 2008-2-18 13:03 编辑 ]

从零开始

版主，这是我下载你的过滤器，导入的数据，我觉得没问题啊。


[ 本帖最后由 从零开始 于 2008-2-18 13:41 编辑 ]

超级版主

感谢oldjiang提出的建议！
如果出现你所说的这种情况，可能是你以前装过不同版本的科来，旧版本未卸载干净造成的。

oldjiang

卸载、重启、删除Colasoft CSNAS 6.7 CCE目录、安装csnas67cce_build1129、重新下载解压工程文件，文件-导出，文件-导入，手工加过滤器如10.PNG（参数是先抄下来的），这回对了没有UDP包了如11.PNG和12.PNG。但是和从零开始兄弟的图还是有点区别（可能过滤器不同吧）。IP FRAGMENT的数据包有同步吗？http://www.csna.cn/forum.php?mod=viewthread&tid=7704工程里的IP FRAGMENT数据包只有ETH和IP层。

从零开始

oldjiang兄为什么要设置两个过滤器呢？
看数据包源主机是通过UDP在传输啊，而且是将IP数据包分段传输，所以就不会有同步包了，并且只有ETH和IP层。个人是这样理解的。
oldjiang兄有何高见呢？

oldjiang

如果只用VALUE10(1)过滤器（也就是syn），还是有UDP包。从零开始兄弟你用的跟我是同一个工程吗？我的目的是筛选出TCP同步包。

从零开始

对啊，我就是下载你上传的那个过滤器，然后筛选的同步包，截图还在上面的。

oldjiang

我只要TCP同步包，别的不要。我觉得如果能够在高级过滤器那里导入多个分别生成的小过滤器，那还是很好用的，比如我看过一篇文章，讨论SYN和ACK包里的各种TCP选项出现的比例，这时就能用的上而且很方便。

[ 本帖最后由 oldjiang 于 2008-2-18 18:34 编辑 ]

菜鸟人飞

楼上二位讨论得是如火如荼啊，我也说说我的看法。
一般情况下，对于TCP同步数据包的捕获，只设定一个过滤器，即偏移量为47，掩码0X02。在这种情况下，捕获到的数据包中会有以下两种非TCP同步数据包：
第一种是，底层协议不是TCP，碰巧偏移量47时，值是0X02，就像oldjiang所说的捕获到了UDP包。
第二种是，会捕获到SYN/ACK包。

要精确捕获TCP的同步数据包，我的观点是做以下三个过滤条件，并将它们在高级过滤器中设置为“与”的关系：
1. IP报头的上层协议处点右键生成TCP过滤器
2. 依据TCP同步位生成TCP同步数据包过滤器
3. 并且TCP确认位不能置1。

oldjiang

我没有想到SYN/ACK包，菜版果然严谨！