网络分析学习资料 -10bet十博欢迎您
数据包模式匹配过滤器使用详解
一、使用介绍
在科来网络分析系统中,数据包模式匹配过滤器是一种高级过滤器。在特殊应用的数据通讯中,可让用户通过某些特征值来设置,进而捕获符合该特征值的数据包,设置界面如下图1,
图1 设置界面
图1中可以看到数据包模式匹配过滤器的相关设置选项:
- 类型:提供4种类型(ascii,hex,utf-8,utf-16)
- 匹配:某种特征值;
- 完全匹配:选择该项,数据要完全匹配特征值才接受;
- 开始偏移和结束偏移:这里两个条件规定了在数据包某位置内进行匹配特征值。默认是0~1518;
二、 应用举例
还是举个例子来实践一下,像目前比较流行的bt,要如何才能定义一个bt过滤器呢?我们知道bt软件默认端口是6881-6889,如果只把这个端口范围做为过滤条件是不够的,因为很多高级用户在使用bt软件的时候,都改了端口,如果我们仅通过端口来作为过滤条件是不准确的,这里就需要添加数据包模式匹配过滤器来组合,我们添加bt协议的hex签名(13426974546f7272656e742070726f746f636f6c),如下图2,
图2 设置bt的签名
这样我们就设置好了一个bt过滤器,如图3,
图3 bt过滤器
设置好图3的过滤器,开始捕获数据包,我们就可以知道网络中那些主机在使用bt软件了,如下图4,
图4 捕获数据包情况
图4中,我们很清楚的看到了192.168.0.92使用bt的情况,在16进制和ascii解码都可以看到bittorrent protocol标签信息。
像数据包模式匹配过滤器等高级过滤器,根据实际情况一般都和其他过滤器搭配组合,几乎可以匹配任何条件下的数据包。