网络分析学习资料 -10bet十博欢迎您
过滤器使用介绍
一、目的概述
设置过滤器是我们改变捕获数据范围的重要手段。通过过滤器,我们可以只捕获所需的特定数据包,把重要的数据分离出来。这样用户就可以只关注存在网络故障或网络攻击的数据信息,而不用在大量的数据中逐个寻找。学习使用是为了让用户更好的使用过滤器这个模块,让用户在使用软件中,通过设置过滤器捕获到自己需要的数据进行分析,从而分析的工作量相对减少,进而提高工作效率。
二、介绍及作用
首先,我们现在认识一下过滤器。顾名思义,听名字就知道大概意思。我们这里所说的过滤器是为捕获某种特定数据通讯所设定的规则或条件,设置好一个过滤器后,系统将按照此过滤器的工作状态分析处理符合设定条件的数据包。
工作原理:系统通过网卡采集到网络中传输的原始数据包,与过滤器的设置进行匹配,将符合设定条件的数据包送到系统的分析模块进行分析处理,不符合条件的数据包则直接丢弃。
作用:使用系统的默认配置,可以捕获网络中的所有数据通讯,方便对整个网络的工作状况进行分析。不过,在网络流量很大,且用户仅需要查看其中某种数据通讯的情况时,默认情况下捕获的结果中就会存在一些不必要的冗余信息,不便于用户对故障的分析和排查。这时,使用系统提供的过滤器或自定义过滤条件,即可实现方便快速的察看到需求的数据。
三、界面及相关介绍
我们可以通过菜单或者工具栏快捷按钮来进入过滤器的对话框:
工程→过滤器
过滤器主界面,如图1:
图1 工程设置中过滤器设置
此图只显示了默认情况,要对过滤器进行添加过滤条件,也可以对以前设置好的或者系统提供的过滤器进行编辑,也可对过滤器文件进行导入和导出操作,这些都在主界面窗口的右边按钮选项进行。
四、相关操作及注意
下面我们就以一些类似例子的方式,分别详细的介绍过滤器的一些功能选项设置及操作来具体介绍。
1)使用软件提供的过滤器表
说明:软件在设计中归纳了一些过滤器,这些是用户可能经常使用而制定的;
软件默认了很多过滤器,具体操作如下:
先进入过滤器主界面(如图1),点击右侧添加→从过滤器表,进入提供的过滤器表选择界面,如(图2)
图2 过滤器表
在图2中,我们看到了系统提供的这些过滤器,下面我们就以tcp为例,我们选择tcp,这样我们就完成了对tcp进行了过滤了,在捕获的数据中,我们就只看到数据包中tcp的相关信息。
注:我们可以选择一个或者多个来搭配,从而来完成我们需要。在最下面,我们也看到了两个选择信息,字面意思很好理解,他们是相反的,这就看用户你的需要和习惯了。
2)添加新过滤器
添加新过滤器就是用户自己根据需求自己来设定添加过滤条件,在capsa5.5中,提供两种:简单过滤器和高级过滤器;
下面我们就来分别介绍使用。
- 简单过滤器
操作如下:过滤器主界面,右侧添加→新过滤器,进入简单过滤器界面如(图3):
图3 简单过滤器设置界面
说明:图3中就是简单过滤器的操作界面,在操作使用:首先,了我们方便和明确我们过滤的目的及内容,我们可以在名称和注释中填入相关内容;设置条件分三块组成:地址过滤,端口过滤,协议过滤;在设置ip地址、mac地址、端口这些条件时,可以选择数据包传输的方向。这样可以很精确的进行筛选数据。而设定协议条件时,可以选择一个或多个协议进行筛选。简单过滤中的筛选条件可以任意组合,并且为了查看方便,可指定协议的颜色以区别其它协议。
- 地址过滤
选择地址进行过滤时,你可指定物理地址、ip地址、ip范围、ip掩码来定义双方的地址,同时,也可以对数据包的传输方向做控制,可设定是单向的或是双向的数据。点击,也可从“名字表”里面选择物理地址或ip。点击图标,可查看地址过滤的格式。这里我们假设地址1为192.168.1.12为例,方向为双向,地址2为任意。
- 端口过滤
端口过滤也提供多种方式,用户可选择单个端口,也可是一个端口范围,或是多个端口。在选择端口值时,也可以通过名字表,选择0~48556的端口值,如下图所示:
图4
- 协议过滤
协议过滤提供一个完整的协议树,用户可以选择一种或多种协议来定义过滤条件,点击选择进入界面,如下图所示:
图5
- 高级过滤器
界面如(图4):
图6
说明:图4就是高级过滤器的界面,但是我们还没有添加过滤器规则。与简单过滤相比,高级过滤增加了“数据包值”筛选、“数据包大小”筛选和“数据包模式配置”筛选条件,并提供多种逻辑关系来组合各种条件。如下图:
图7
后面三种过滤规则就是高级过滤器特有的过滤条件。可以通过这些更为精确的条件进行过滤,几乎可以匹配任何条件下的数据包。“地址,端口,协议”这三种过滤条件和简单过滤器中的一样,这里就不再重复。下面我们分别介绍:“数据包值,数据包大小,数据包模式”。其界面分别如下:
- 数据包值过滤器
图8
描述
- 数据包大小过滤
图9
- 数据包模式匹配过滤器
图10
在设置高级过滤条件的时候,我们就需要了解工具条上的一些东西,抓图如下:
图11
分别说明一下:
| 命令 | 内容描述 |
| 与(and) | 提供“与”关系,必须同时满足关联的两个条件 |
| 或(or) | 提供“或”关系,至少要满足其中一个条件 |
| 非(not) | 提供“否”关系,满足的条件与设定的条件相反 |
| 编辑(edit) | 编辑选择的过滤器设置 |
| 删除(delete) | 删除选择的过滤条件 |
| 显示图标 | 显示过滤器的图标 |
| 显示详细内容 | 显示过滤器的详细信息 |
下面我们来举个例子来说明这几个的操作,比如:
在创建高级过滤器时,可以通过过滤器的工具条来组合各种条件,
从下图的流程我们可以看出,这是一个“与”和“非”的操作
第一个小框是一个ip地址范围192.168.0.1~192.168.0.100
第二个是一个“非”条件,意思是除了192.168.0.65
第三个是端口为1234。
三个一起是一个“与”操作,要求同时满足。
图12
下面我们在来设一下“或”,“与”“非”一起组合的:
图13
在这几张抓图中,我们可以看出,在高级过滤设置中提供一个非常直观的过滤关系图,图中将展示设定的过滤条件的逻辑关系,通过网卡到主机的过达路径,便可以很轻易看出过滤器的条件关系。
3) 过滤器表
过滤器表里,有系统自带的过滤器,这些默认的过滤器,都属于协议过滤器,是针对协议进行设置的。双击可以打开过滤器的属于对话框,我们可以对过滤器的属于进行修改。包括修改过滤器的名称、注释、颜色,以及过滤器所设置的条件。
通过点击工具栏上的快捷图标来进入过滤器表,进入如下界面,可以对过滤器表进行管理:
图14
在上图,我们可以对过滤器表里面的过滤器进行添加,修改。
添加过滤器:方法就像前面所讲的两种过滤器的添加一样,如(图3和图4);
修改过滤器:双击某个过滤器就进入设置页面,如(图3和图4)。
五、总结
以上就是我们对过滤器的说明,过滤器软件中很重要,也是经常要用到的一个功能模块,希望对用户在以后使用过程中有所帮助。