CSNA网络分析论坛»首页 流量分析 网络分析 怎么编写自己想抓的包
返回列表 发帖
查看: 2727|回复: 14

怎么编写自己想抓的包

[复制链接]
zyf821230
发表于 2007-8-4 11:24:46 | 显示全部楼层 |阅读模式
假如我只是想抓192.168.0.5这个机子的所有数据包    是不是应该这样编写过滤器规则:"ip=192.168.0.5 = all"

我也希望版主能给大家多发发过滤器的编写规则。
回复

使用道具 举报

luotao251
发表于 2007-8-4 15:36:27 | 显示全部楼层
楼主编写的过滤器规则是对的!
回复

使用道具 举报

天蓝
发表于 2007-8-5 00:19:12 | 显示全部楼层
不过,利用节点浏览器,则不需要去设置过滤器,便可以很轻松的找到 192.168.0.5
这是所有分析软件中,科来独有的,非常方便。
方法:节点浏览器=》IP节点=》本地网段=》192.168.0.5=》点击右边的数据包视图。
回复

使用道具 举报

菜鸟人飞
发表于 2007-8-6 09:14:32 | 显示全部楼层
原帖由 zyf821230 于 2007-8-4 11:24 发表
假如我只是想抓192.168.0.5这个机子的所有数据包    是不是应该这样编写过滤器规则:"ip=192.168.0.5 = all"

我也希望版主能给大家多发发过滤器的编写规则。

不同程序中过滤器的定义方法存在区别,楼主的设置是在Ethereal/Wireshark中的吗?
回复

使用道具 举报

zyf821230
 楼主| 发表于 2007-8-7 15:50:54 | 显示全部楼层

回复 #4 菜鸟人飞 的帖子

对    就是Ethereal的过滤器规则        

可是这些规则我就是不太明白        但是科来就比较好用     正如楼上所说的     通过节点浏览器就可以看某个地址的数据包(唯一不方便的是每次都的在核心交换机上做端口镜像)Ethereal就不同了  它不管在那都能捕获到所有的数据包
回复

使用道具 举报

zyf821230
 楼主| 发表于 2007-8-7 15:56:31 | 显示全部楼层
还有个问题    从数据包中怎么才能看到应用层的地址   
我的意思就是说:假如某地址在上班期间正在浏览与工作无关的网站,怎么才能看到这台机子的应用层的信息呢     现在只能看到个IP地址    不知道上什么网站    是不是像这些抓包工具就只能解析到网络层的数据?
回复

使用道具 举报

cwym29
发表于 2007-8-7 16:26:47 | 显示全部楼层
原帖由 zyf821230 于 2007-8-7 15:50 发表
对    就是Ethereal的过滤器规则        

可是这些规则我就是不太明白        但是科来就比较好用     正如楼上所说的     通过节点浏览器就可以看某个地址的数据包(唯一不方便的是每次都的在核心交换机上做端口镜像)Ethereal就不同了  它不管在那都能捕获到所有的数据包

Ethereal不管在哪都能捕获到所有数据包?
不会吧。
回复

使用道具 举报

cwym29
发表于 2007-8-7 16:27:31 | 显示全部楼层
原帖由 zyf821230 于 2007-8-7 15:56 发表
还有个问题    从数据包中怎么才能看到应用层的地址   
我的意思就是说:假如某地址在上班期间正在浏览与工作无关的网站,怎么才能看到这台机子的应用层的信息呢     现在只能看到个IP地址    不知道上什么网站 ...

左边选中IP后,右边选择日志视图,看它访问的网站。
回复

使用道具 举报

3721
发表于 2007-8-7 16:28:22 | 显示全部楼层
原帖由 zyf821230 于 2007-8-7 15:50 发表
对    就是Ethereal的过滤器规则        

可是这些规则我就是不太明白        但是科来就比较好用     正如楼上所说的     通过节点浏览器就可以看某个地址的数据包(唯一不方便的是每次都的在核心交换机上做 ...



和你理解不一样的地方是,不管是Ethereal或者科来,还是其它的什么协议分析产品,不进行端口镜像都不能捕获到所有的包,那样只能抓到广播包。
回复

使用道具 举报

zyf821230
 楼主| 发表于 2007-8-7 17:24:11 | 显示全部楼层

回复 #8 cwym29 的帖子

你说的选中哪个IP   是外网的那个地址还是局域网的那个地址?
回复

使用道具 举报

cwym29
发表于 2007-8-7 17:26:04 | 显示全部楼层
原帖由 zyf821230 于 2007-8-7 17:24 发表
你说的选中哪个IP   是外网的那个地址还是局域网的那个地址?

内部IP啊。
回复

使用道具 举报

zyf821230
 楼主| 发表于 2007-8-8 08:36:50 | 显示全部楼层

回复 #8 cwym29 的帖子

我按照你说的试了     我这边显示不出来        在”按IP端点浏览“中选中一个内网地址   在右边点击“日志”后    一片空白     出现“没有可显示列表项目”      HTTP请求     DNS查询      FTP传输   这四个都是“没有可显示列表项目”

这个问题是怎么回事?
回复

使用道具 举报

zyf821230
 楼主| 发表于 2007-8-8 08:44:21 | 显示全部楼层

回复 #11 cwym29 的帖子

我发现你说的“日志视图”界面只能解析HTTP协议        

那么能解析到UDP    TCP这样的吗
回复

使用道具 举报

菜鸟人飞
发表于 2007-8-8 09:30:30 | 显示全部楼层
原帖由 zyf821230 于 2007-8-7 15:56 发表
还有个问题    从数据包中怎么才能看到应用层的地址   
我的意思就是说:假如某地址在上班期间正在浏览与工作无关的网站,怎么才能看到这台机子的应用层的信息呢     现在只能看到个IP地址    不知道上什么网站    是不是像这些抓包工具就只能解析到网络层的数据?

当然不是仅仅只有解析到网络层的数据,楼主请看下图。


从上图可以看到,谁访问了某个网站。
另外,不是仅仅只有HTTP的,还有邮件收发信息,DNS域名解析,FTP文件传输的日志信息。

TCP和UDP是传输层的概念,要分析传输层的东东(实际是TCP和UDP的报头信息),请查看数据包解码,如下。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

zyf821230
 楼主| 发表于 2007-8-8 10:14:41 | 显示全部楼层

回复 #14 菜鸟人飞 的帖子

谢谢指点~~~~~~
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表