1、 数据包值过滤器使用详解成都科来软件有限公司 电话:028-85120922 Email:http:/ 传真:028-85120911 1 / 4软件使用 数据包值过滤器使用详解在捕获数据包时,用户有时需要精确到一些值,需要对某个字节或者字节中某一位,数据包值过滤器就可以完成。数据包值过滤器属于高级过滤器,其主要用于捕获某种特殊应用的数据通讯。下面我们来详细介绍数据包值过滤器。一、 使用介绍科来网络分析系统中,数据包值过滤器相对与地址,协议和端口过滤器是一种高级过滤器。设置界面如下图 1,(图 1 数据包设置界面)图 1 中可以看到,在数据包值过滤器中有很多设置选项: 长度:该字段的长度; 偏
2、移量:字段在数据包中的位置; 掩码:位在字段中的位置; 字节序:网络字序和主机字序,默认是网络字序; 操作:=、!= 等 6 种操作; 值类型:提供二进制,八进制等 5 种值类型; 值:字段的值;我们在使用数据包值过滤器时,一般是在数据包解码视图中的某个值生成过滤器,我们也数据包值过滤器使用详解成都科来软件有限公司 电话:028-85120922 Email:http:/ 传真:028-85120911 2 / 4可以在高级过滤器中的数据包值过滤器中添入相应的数值。二、 应用举例下面就来具体应用一下,比如我们想学习 TCP 三次握手的第一步,捕获 TCP 同步数据包。1. 直接设置我们需要知道
3、 TCP 同步数据包的特征:TCP 标志位在 Ethernet II 数据包中的偏移量是47(Ethernet II 报头 14,IP 报头 20,TCP 源端口 2,TCP 目标端口 2,TCP 序列号 4,TCP确认号 4,TCP 偏移量 1,即 14+20+2+2+4+4+1=47) 。TCP 标记位中同步位为 1 的数据包,就是 TCP 同步位置包,下面是一个 TCP 同步数据包的解码图(只截取了 TCP 标志部分) ,可以看到,TCP 同步数据包的值是 TCP 标志位的值是 10(二进制)或 02(16 进制)或2(10 进制,8 进制) 。设置如下图 2,(图 2 TCP 同步数据
4、包)图 2 就是捕获 TCP 同步数据包的数据包值过滤器,我们通过访问网页,捕获结果如下图3,数据包值过滤器使用详解成都科来软件有限公司 电话:028-85120922 Email:http:/ 传真:028-85120911 3 / 4(图 3 捕获数据包情况)图 3 中显示的为我们捕获的结果,捕获到的几个数据包都是同步数据包。2. 生成过滤器除了上面添加数据包值过滤器的方法外,我们还可以在数据包解码视图中,直接生成过滤器,如下图,我们可以直接选择同步位,右键直接生成过滤器,这样比较方便。在导入数据包文件时的二次过滤器中也非常有用。以上就是我们对科来网络分析系统数据包值过滤器的介绍。数据包值过滤器使用详解成都科来软件有限公司 电话:028-85120922 Email:http:/ 传真:028-85120911 4 / 4成都科来软件有限公司2006 年 6 月
