软件使用-数据包值过滤器使用详解.doc

数据包值过滤器使用详解 成都科来软件有限公司 电话：028Email：sales@  HYPERLINK  传真：028support@  PAGE 4 /  NUMPAGES 4 软件使用 － 数据包值过滤器使用详解 在捕获数据包时，用户有时需要精确到一些值，需要对某个字节或者字节中某一位，数据包值过滤器就可以完成。数据包值过滤器属于高级过滤器，其主要用于捕获某种特殊应用的数据通讯。下面我们来详细介绍数据包值过滤器。 使用介绍 科来网络分析系统中，数据包值过滤器相对与地址，协议和端口过滤器是一种高级过滤器。设置界面如下图1， （图1 数据包设置界面） 图1中可以看到，在数据包值过滤器中有很多设置选项： 长度：该字段的长度； 偏移量：字段在数据包中的位置； 掩码：位在字段中的位置； 字节序：网络字序和主机字序，默认是网络字序； 操作：=、！=等6种操作； 值类型：提供二进制，八进制等5种值类型； 值：字段的值； 我们在使用数据包值过滤器时，一般是在数据包解码视图中的某个值生成过滤器，我们也可以在高级过滤器中的数据包值过滤器中添入相应的数值。 应用举例 下面就来具体应用一下，比如我们想学习TCP三次握手的第一步，捕获TCP同步数据包。 直接设置 我们需要知道TCP同步数据包的特征：TCP标志位在Ethernet II数据包中的偏移量是47（Ethernet II报头14，IP报头20，TCP源端口2，TCP目标端口2，TCP序列号4，TCP确认号4，TCP偏移量1，即14+20+2+2+4+4+1=47）。TCP标记位中同步位为1的数据包，就是TCP同步位置包，下面是一个TCP同步数据包的解码图（只截取了TCP标志部分），可以看到，TCP同步数据包的值是TCP标志位的值是10（二进制）或02（16进制）或2（10进制，8进制）。设置如下图2， （图2 TCP同步数据包） 图2就是捕获TCP同步数据包的数据包值过滤器，我们通过访问网页，捕获结果如下图3， （图3 捕获数据包情况） 图3中显示的为我们捕获的结果，捕获到的几个数据包都是同步数据包。 生成过滤器 除了上面添加数据包值过滤器的方法外，我们还可以在数据包解码视图中，直接生成过滤器，如下图， 我们可以直接选择同步位，右键直接生成过滤器，这样比较方便。在导入数据包文件时的二次过滤器中也非常有用。 以上就是我们对科来网络分析系统数据包值过滤器的介绍。 成都科来软件有限公司  HYPERLINK /  2006年6月