欢迎来到天天文库
浏览记录
ID:33159289
大小:153.00 KB
页数:4页
时间:2019-02-21
《sniffer、omnipeek、科来网络分析系统过滤器比较之位》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、过滤器比较之位比较蒈螅羈莁薀薈袄莀芀螃衿莀蒂薆膈荿薅袂肄莈蚇蚅羀莇莇袀袆羄葿蚃螂肃薁袈肁肂芁蚁羇肁莃袇羃肀薅虿衿聿蚈薂膇肈莇螈肃肈蒀薁罿肇薂螆袅膆节蕿螁膅莄螄肀膄蒆薇肆膃虿袃羂膂莈蚅袈膂蒁袁螄膁薃蚄肂膀节衿羈艿莅蚂袄芈蒇袇螀芇蕿蚀腿芆荿蒃肅芆蒁蝿羁芅薄薁袇芄芃螇螃芃莆薀肂莂蒈螅羈莁薀薈袄莀芀螃衿莀蒂薆膈荿薅袂肄莈蚇蚅羀莇莇袀袆羄葿蚃螂肃薁袈肁肂芁蚁羇肁莃袇羃肀薅虿衿聿蚈薂膇肈莇螈肃肈蒀薁罿肇薂螆袅膆节蕿螁膅莄螄肀膄蒆薇肆膃虿袃羂膂莈蚅袈膂蒁袁螄膁薃蚄肂膀节衿羈艿莅蚂袄芈蒇袇螀芇蕿蚀腿芆荿蒃肅芆蒁蝿羁芅薄薁袇芄芃螇螃芃莆薀肂莂
2、蒈螅羈莁薀薈袄莀芀螃衿莀蒂薆膈荿薅袂肄莈蚇蚅羀莇莇袀袆羄葿蚃螂肃薁袈肁肂芁蚁羇肁莃袇羃肀薅虿衿聿蚈薂膇肈莇螈肃肈蒀薁罿肇薂螆袅膆节蕿螁膅莄螄肀膄蒆薇肆膃虿袃羂膂莈蚅袈膂蒁袁螄膁薃蚄肂膀节衿羈艿莅蚂袄芈蒇袇螀芇蕿蚀腿芆荿蒃肅芆蒁蝿羁芅薄薁袇芄芃螇螃芃莆薀肂莂蒈螅羈莁薀薈袄莀芀螃衿莀蒂薆膈荿薅袂肄莈蚇蚅羀莇莇袀袆羄葿蚃螂肃薁袈肁软件比较-Sniffer、Omnipeek、科来网络分析系统过滤器比较之位过滤在捕获数据包时,有时候需要对一个字节中的某一个位进行精确匹配,这时,我们就需要用到位过滤。位过滤相对于地址、端口、协议过滤而言
3、,是一种比较高级的条件过滤,其主要用于捕获某种特殊应用的数据通讯。下面我们分别使用Sniffer、Omnipeek、科来网络分析系统,来学习位过滤的设置方法,这里我们以捕获TCP同步数据包(TCP三次握手第一步的数据包)为例。我们知道,TCP标志位在EthernetII数据包中的偏移量是47(EthernetII报头14,IP报头20,TCP源端口2,TCP目标端口2,TCP序列号4,TCP确认号4,TCP偏移量1,即14+20+2+2+4+4+1=47)。TCP标记位中同步位为1的数据包,就是TCP同步位置包,下面是一个T
4、CP同步数据包的解码图(只截取了TCP标志部分),可以看到,TCP同步数据包的值是TCP标志位的值是10(二进制)或02(16进制)或2(10进制,8进制)。根据上图TCP标记的解码信息,我们在上述三种最常用的分析软件中设置TCP同步数据包的过滤器。1.Sniffer打开Sniffer的过滤器,选择DataPattern选项卡,单击AddPattern按钮,弹出EditPattern对话框,并进行如下图所示的设置。成都科来软件有限公司电话:028-85120922Email:sales@colasoft.com.cnhttp
5、://www.colasoft.com.cn传真:028-85120911support@colasoft.com.cn4/4 过滤器比较之位比较2.Omnipeek选择“View-Filters”,单击Insert按钮,打开Omnipeek的过滤器,在弹出的对话框中选择高级过滤器(Advanced),并选择“And-Value”,并进行如下图所示的设置。成都科来软件有限公司电话:028-85120922Email:sales@colasoft.com.cnhttp://www.colasoft.com.cn传真:028-
6、85120911support@colasoft.com.cn4/4 过滤器比较之位比较3.科来网络分析系统单击工具栏上的“过滤器”按钮,打开系统的过滤器窗口,单击“添加-新过滤器”,在弹出的对话框中选择高级过滤器,并选择“与-数据包值”,并进行如下图所示的设置。成都科来软件有限公司电话:028-85120922Email:sales@colasoft.com.cnhttp://www.colasoft.com.cn传真:028-85120911support@colasoft.com.cn4/4 过滤器比较之位比较从上
7、面可以看出,三种网络分析软件都可以实现要求,但却略有不同。Sniffer不能对位进行过滤,只能精确到字节(或许Sniffer可以用其它方法实现,但我未找到),虽然设置值后也可捕获到所须数据包,但这样会降低捕获的效率,对于其它的某些情况,或许还可能导致出现错误的信息。Omnipeek添加了位偏移,能对位进行过滤,可以精确捕获所需的数据包,有效满足我们的需要,且提高捕获效率,不过Omnipeek中这里的值只能是10进制。科来网络分析系统也添加了位移,能对位进行过滤,可以精确捕获所需的数据包,有效满足我们的需要,且提高捕获效率,另
8、外在科来网络分析系统中,值的类型可以是16进制、10进制(无符号、有符号)、2进制、8进制。总结:个人认为,在位偏移这个功能上,科来网络分析系统和Omnipeek值得称道,而Sniffer则应该加强。成都科来软件有限公司www.colasoft.ocm.cn2006年6月蒄蚃肄荿蒄袆艿莅蒃
此文档下载收益归作者所有