科来网络分析系统过滤器使用介绍.docVIP

　　　　　　　　　　　　　　　　　　　　　　　　　　　过滤器使用介绍 成都科来软件有限公司 电话：028Email：sales@ 传真：028support@ PAGE 1 / NUMPAGES 12 软件使用 － 科来网络分析系统过滤器使用介绍 目的概述 设置过滤器是我们改变捕获数据范围的重要手段。通过过滤器，我们可以只捕获所需的特定数据包，把重要的数据分离出来。这样用户就可以只关注存在网络故障或网络攻击的数据信息，而不用在大量的数据中逐个寻找。学习使用是为了让用户更好的使用过滤器这个模块，让用户在使用软件中，通过设置过滤器捕获到自己需要的数据进行分析，从而分析的工作量相对减少，进而提高工作效率。 介绍及作用 首先，我们现在认识一下过滤器。顾名思义，听名字就知道大概意思。我们这里所说的过滤器是为捕获某种特定数据通讯所设定的规则或条件，设置好一个过滤器后，系统将按照此过滤器的工作状态分析处理符合设定条件的数据包。 工作原理：系统通过网卡采集到网络中传输的原始数据包，与过滤器的设置进行匹配，将符合设定条件的数据包送到系统的分析模块进行分析处理，不符合条件的数据包则直接丢弃。 作用：使用系统的默认配置，可以捕获网络中的所有数据通讯，方便对整个网络的工作状况进行分析。不过，在网络流量很大，且用户仅需要查看其中某种数据通讯的情况时，默认情况下捕获的结果中就会存在一些不必要的冗余信息，不便于用户对故障的分析和排查。这时，使用系统提供的过滤器或自定义过滤条件，即可实现方便快速的察看到需求的数据。 界面及相关介绍 我们可以通过菜单或者工具栏快捷按钮来进入过滤器的对话框： 工程→过滤器 过滤器主界面，如图1： （图1 工程设置中过滤器设置） 此图只显示了默认情况，要对过滤器进行添加过滤条件，也可以对以前设置好的或者系统提供的过滤器进行编辑，也可对过滤器文件进行导入和导出操作，这些都在主界面窗口的右边按钮选项进行。 相关操作及注意 下面我们就以一些类似例子的方式，分别详细的介绍过滤器的一些功能选项设置及操作来具体介绍。 1）使用软件提供的过滤器表 说明：软件在设计中归纳了一些过滤器，这些是用户可能经常使用而制定的； 软件默认了很多过滤器，具体操作如下： 先进入过滤器主界面（如图1），点击右侧添加→从过滤器表，进入提供的过滤器表选择界面，如（图2） （图2 过滤器表） 在图2中，我们看到了系统提供的这些过滤器，下面我们就以TCP为例，我们选择TCP，这样我们就完成了对TCP进行了过滤了，在捕获的数据中，我们就只看到数据包中TCP的相关信息。 注：我们可以选择一个或者多个来搭配，从而来完成我们需要。在最下面，我们也看到了两个选择信息，字面意思很好理解，他们是相反的，这就看用户你的需要和习惯了。 2）添加新过滤器 添加新过滤器就是用户自己根据需求自己来设定添加过滤条件，在Capsa5.5中，提供两种：简单过滤器和高级过滤器； 下面我们就来分别介绍使用。 简单过滤器 操作如下：过滤器主界面，右侧添加→新过滤器，进入简单过滤器界面如（图3）： （图3 简单过滤器设置界面） 说明：图3中就是简单过滤器的操作界面，在操作使用：首先，了我们方便和明确我们过滤的目的及内容，我们可以在名称和注释中填入相关内容；设置条件分三块组成：地址过滤，端口过滤，协议过滤；在设置IP地址、MAC地址、端口这些条件时，可以选择数据包传输的方向。这样可以很精确的进行筛选数据。而设定协议条件时，可以选择一个或多个协议进行筛选。简单过滤中的筛选条件可以任意组合，并且为了查看方便，可指定协议的颜色以区别其它协议。 地址过滤 选择地址进行过滤时，你可指定物理地址、IP地址、IP范围、IP掩码来定义双方的地址，同时，也可以对数据包的传输方向做控制，可设定是单向的或是双向的数据。点击，也可从“名字表”里面选择物理地址或IP。点击图标，可查看地址过滤的格式。这里我们假设地址1为2为例，方向为双向，地址2为任意。 端口过滤 端口过滤也提供多种方式，用户可选择单个端口，也可是一个端口范围，或是多个端口。在选择端口值时，也可以通过名字表，选择0~48556的端口值，如下图所示： 协议过滤 协议过滤提供一个完整的协议树，用户可以选择一种或多种协议来定义过滤条件，点击选择进入界面，如下图所示： 高级过滤器 界面如（图4）： 说明：图4就是高级过滤器的界面，但是我们还没有添加过滤器规则。与简单过滤相比，高级过滤增加了“数据包值”筛选、“数据包大小”筛选和“数据包模式配置”筛选条件，并提供多种逻辑关系来组合各种条件。如下图： 后面三种过滤规则就是高级过滤器特有的过滤条件。可以通过这些更为精确的条件进行过滤，几乎可以匹配任何条