网络分析学习资料
数据包值过滤器使用详解
在捕获数据包时,用户有时需要精确到一些值,需要对某个字节或者字节中某一位,数据包值过滤器就可以完成。数据包值过滤器属于高级过滤器,其主要用于捕获某种特殊应用的数据通讯。下面我们来详细介绍数据包值过滤器。
一、 使用介绍
科来网络分析系统中,数据包值过滤器相对与地址,协议和端口过滤器是一种高级过滤器。设置界面如下图1,
图1 数据包设置界面
图1中可以看到,在数据包值过滤器中有很多设置选项:
- 长度:该字段的长度;
- 偏移量:字段在数据包中的位置;
- 掩码:位在字段中的位置;
- 字节序:网络字序和主机字序,默认是网络字序;
- 操作:=、!=等6种操作;
- 值类型:提供二进制,八进制等5种值类型;
- 值:字段的值;
我们在使用数据包值过滤器时,一般是在数据包解码视图中的某个值生成过滤器,我们也可以在高级过滤器中的数据包值过滤器中添入相应的数值。
二、应用举例
下面就来具体应用一下,比如我们想学习TCP三次握手的第一步,捕获TCP同步数据包。
1. 直接设置
我们需要知道TCP同步数据包的特征:TCP标志位在Ethernet II数据包中的偏移量是47(Ethernet II报头14,IP报头20,TCP源端口2,TCP目标端口2,TCP序列号4,TCP确认号4,TCP偏移量1,即14+20+2+2+4+4+1=47)。TCP标记位中同步位为1的数据包,就是TCP同步位置包,下面是一个TCP同步数据包的解码图(只截取了TCP标志部分),可以看到,TCP同步数据包的值是TCP标志位的值是10(二进制)或02(16进制)或2(10进制,8进制)。设置如下图2,
图2 TCP同步数据包
图2就是捕获TCP同步数据包的数据包值过滤器,我们通过访问网页,捕获结果如下图3,
图3 捕获数据包情况
图3中显示的为我们捕获的结果,捕获到的几个数据包都是同步数据包。
2. 生成过滤器
除了上面添加数据包值过滤器的方法外,我们还可以在数据包解码视图中,直接生成过滤器,如下图,
我们可以直接选择同步位,右键直接生成过滤器,这样比较方便。在导入数据包文件时的二次过滤器中也非常有用。