返回
Sniffer教程-data pattern过滤器的定义

Sniffer教程-data pattern过滤器的定义

ID:37640089

大小:520.24 KB

页数:11页

时间:2019-05-27

Sniffer教程-data pattern过滤器的定义_第1页
Sniffer教程-data pattern过滤器的定义_第2页
Sniffer教程-data pattern过滤器的定义_第3页
Sniffer教程-data pattern过滤器的定义_第4页
Sniffer教程-data pattern过滤器的定义_第5页
资源描述:

《Sniffer教程-data pattern过滤器的定义》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Sniffer技术服务中心Sniffer教程1.1-------范伟导fanweidao@hotmail.com过滤器的定义之datapattern的定义最近有许多网上的朋友问我Sniffer的过滤器中datapattern怎样定义,我在这里统一介绍一下。所谓datapattern过滤,就是把数据包中某一特定位置的有相同特征的所有数据包选择出来。比如说,最近一些用户网络中出现445端口的DOS攻击,我想过滤出所有445端口的流量,我就可以快速找出攻击的源头,可以怎么做?在这里445就是我们要找的特征(pattern),但445可能在数据包很多位置

2、会出现。所以我们必须指定,只有端口号那个位置是445的我才要,那么端口号那个位置怎么表示呢,我们可以采用偏移量(offset)的方式,比如说,从下图中,我们可以看到445是目的端口,用16进制表示为0x01bd,那么pattern就是01bd(hex)。从以太网帧开始数,01bd所在的位置偏移量为0x24(十进制为36),注意:第一个字节的偏移量是0。对于目的端口为445的数据包。在datapattern过滤中可以这样描述:从以太网帧开始,偏移量=0x24,pattern=0x01bd的数据包。当然,我们在advance里选上TCP就更准确了。1

3、Sniffer技术服务中心接下来我们练习如何做基于端口的过滤。如果你用的是4.8版本,可以直接指定端口号就行,如下图如果你用的是4.75版本,就需要用到datapattern。首先你在专家系统中的connection层找到一个445端口的连接,如下图21过滤一下,这种过滤方式,叫visualfilter。这个操作可以快速过滤出一个端口号为445连接。2Sniffer技术服务中心接下来,我们定义一个过滤器:原端口或目的端口等于445。选择菜单上captureÆdefinefilter,下图显示定义过滤器的页面3Sniffer技术服务中心首先,我们要

4、给新的过滤器取个名字,比如叫port_445。如下图,选择profiles->New,在Newprofilename中输入port_445。其他参考图示。名字定义好的,按确定。我们再选中datapattern的选项卡。选择addpattern4Sniffer技术服务中心在这里我们就可以添加新的pattern。刚才我们的tracefile里是445端口的一个连接,21在这里,我们点亮目的端口=445那一行,按一下setdata。上面就自动定义好了。我们可以看到offset=0x24,pattern=01bd。我们再看一下from:后面可以选择pac

5、ket和protocol。(如下图)这是什么作用呢?这主要是偏移量从哪里开始算。Packet表示从2层的头开始计算偏移量,protocol表示从3层的头开始计算偏移量。为什么要有这个功能呢?主要考虑数据包结构有些不同。比如说以太网帧:如果没有vlan标记,那目的端口的偏移量就是0x24,但如果有802.1Q的标记那就不一样了。假设你的网络中有的数据包有标记,有的数据包没有标记,那这样过滤就有问题。这种情况,应该用protocol,从第三层开始计算偏移量,那就没有问题了。215Sniffer技术服务中心如下图。Format后面有多个选项,这表示pa

6、ttern的格式,可以是十进制、二进制等。大家自己练习一下。4.8版本还支持任意偏移量的过滤,也就是不管数据包任何位置有相应pattern都找出来。比如说我要找出所有带password字符的数据包,我们可以选format=ascii,variableoffset,pattern=password,就行了(别做坏事!)继续,如下图,我们给这个pattern取个名字(随便都可以)6Sniffer技术服务中心OK,目的端口=445的pattern已经做好了我们再加一个源端口=445的pattern。如下图,先点亮and后面那一行,再按addpatter

7、n7Sniffer技术服务中心我们按刚才的方法,按一下NEXT(下一个帧),找到那个源端口=445那一行(如果不是,再按一下next),同样setdata。改一下名字,就可以了。还没有完,我们注意到下图所示,源端口=445and目的端口=445,这样不行,我们要的是或的关系。8Sniffer技术服务中心我们在and上面点一下,就变成了or。(你们自己做的时候,记得在advance里选上TCP,我这里就不讲了)好,过滤器定义好了,我们试一下。在decode里按右键,选择selextfilter9Sniffer技术服务中心选择我们刚才定义的过滤器,按

8、确定这就过滤出来了,我们再把过滤后的数据在新窗口中打开,如下图creatnewfilterwindows10Sniffer技术服务中心看

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。