軟件使用科來網(wǎng)絡(luò)分析系統(tǒng)過濾器使用介紹

1、軟件使用 科來網(wǎng)絡(luò)分析系統(tǒng)過濾器使用介紹一、 目的概述設(shè)置過濾器是我們改變捕獲數(shù)據(jù)范圍的重要手段。通過過濾器，我們可以只捕獲所需的特定數(shù)據(jù)包，把重要的數(shù)據(jù)分離出來。這樣用戶就可以只關(guān)注存在網(wǎng)絡(luò)故障或網(wǎng)絡(luò)攻擊的數(shù)據(jù)信息，而不用在大量的數(shù)據(jù)中逐個尋找。學習使用是為了讓用戶更好的使用過濾器這個模塊，讓用戶在使用軟件中，通過設(shè)置過濾器捕獲到自己需要的數(shù)據(jù)進行分析，從而分析的工作量相對減少，進而提高工作效率。二、 介紹及作用首先，我們現(xiàn)在認識一下過濾器。顧名思義，聽名字就知道大概意思。我們這里所說的過濾器是為捕獲某種特定數(shù)據(jù)通訊所設(shè)定的規(guī)則或條件，設(shè)置好一個過濾器后，系統(tǒng)將按照此過濾器的工作狀態(tài)分析處理

2、符合設(shè)定條件的數(shù)據(jù)包。工作原理：系統(tǒng)通過網(wǎng)卡采集到網(wǎng)絡(luò)中傳輸?shù)脑紨?shù)據(jù)包，與過濾器的設(shè)置進行匹配，將符合設(shè)定條件的數(shù)據(jù)包送到系統(tǒng)的分析模塊進行分析處理，不符合條件的數(shù)據(jù)包則直接丟棄。作用：使用系統(tǒng)的默認配置，可以捕獲網(wǎng)絡(luò)中的所有數(shù)據(jù)通訊，方便對整個網(wǎng)絡(luò)的工作狀況進行分析。不過，在網(wǎng)絡(luò)流量很大，且用戶僅需要查看其中某種數(shù)據(jù)通訊的情況時，默認情況下捕獲的結(jié)果中就會存在一些不必要的冗余信息，不便于用戶對故障的分析和排查。這時，使用系統(tǒng)提供的過濾器或自定義過濾條件，即可實現(xiàn)方便快速的察看到需求的數(shù)據(jù)。三、 界面及相關(guān)介紹我們可以通過菜單或者工具欄快捷按鈕來進入過濾器的對話框：工程過濾器過濾器主界面，如

3、圖1：（圖1 工程設(shè)置中過濾器設(shè)置）此圖只顯示了默認情況，要對過濾器進行添加過濾條件，也可以對以前設(shè)置好的或者系統(tǒng)提供的過濾器進行編輯，也可對過濾器文件進行導(dǎo)入和導(dǎo)出操作，這些都在主界面窗口的右邊按鈕選項進行。四、 相關(guān)操作及注意下面我們就以一些類似例子的方式，分別詳細的介紹過濾器的一些功能選項設(shè)置及操作來具體介紹。1）使用軟件提供的過濾器表說明：軟件在設(shè)計中歸納了一些過濾器，這些是用戶可能經(jīng)常使用而制定的；軟件默認了很多過濾器，具體操作如下：先進入過濾器主界面（如圖1），點擊右側(cè)添加從過濾器表，進入提供的過濾器表選擇界面，如（圖2）（圖2 過濾器表）在圖2中，我們看到了系統(tǒng)提供的這些過濾器，

4、下面我們就以TCP為例，我們選擇TCP，這樣我們就完成了對TCP進行了過濾了，在捕獲的數(shù)據(jù)中，我們就只看到數(shù)據(jù)包中TCP的相關(guān)信息。注：我們可以選擇一個或者多個來搭配，從而來完成我們需要。在最下面，我們也看到了兩個選擇信息，字面意思很好理解，他們是相反的，這就看用戶你的需要和習慣了。2）添加新過濾器添加新過濾器就是用戶自己根據(jù)需求自己來設(shè)定添加過濾條件，在Capsa5.5中，提供兩種：簡單過濾器和高級過濾器；下面我們就來分別介紹使用。a) 簡單過濾器操作如下：過濾器主界面，右側(cè)添加新過濾器，進入簡單過濾器界面如（圖3）：（圖3 簡單過濾器設(shè)置界面）說明：圖3中就是簡單過濾器的操作界面，在操作使

5、用：首先，了我們方便和明確我們過濾的目的及內(nèi)容，我們可以在名稱和注釋中填入相關(guān)內(nèi)容；設(shè)置條件分三塊組成：地址過濾，端口過濾，協(xié)議過濾；在設(shè)置IP地址、MAC地址、端口這些條件時，可以選擇數(shù)據(jù)包傳輸?shù)姆较?。這樣可以很精確的進行篩選數(shù)據(jù)。而設(shè)定協(xié)議條件時，可以選擇一個或多個協(xié)議進行篩選。簡單過濾中的篩選條件可以任意組合，并且為了查看方便，可指定協(xié)議的顏色以區(qū)別其它協(xié)議。l 地址過濾選擇地址進行過濾時，你可指定物理地址、IP地址、IP范圍、IP掩碼來定義雙方的地址，同時，也可以對數(shù)據(jù)包的傳輸方向做控制，可設(shè)定是單向的或是雙向的數(shù)據(jù)。點擊，也可從“名字表”里面選擇物理地址或IP。點擊圖標，可查看地址過

6、濾的格式。這里我們假設(shè)地址1為為例，方向為雙向，地址2為任意。l 端口過濾端口過濾也提供多種方式，用戶可選擇單個端口，也可是一個端口范圍，或是多個端口。在選擇端口值時，也可以通過名字表，選擇048556的端口值，如下圖所示：l 協(xié)議過濾協(xié)議過濾提供一個完整的協(xié)議樹，用戶可以選擇一種或多種協(xié)議來定義過濾條件，點擊選擇進入界面，如下圖所示：b) 高級過濾器界面如（圖4）：說明：圖4就是高級過濾器的界面，但是我們還沒有添加過濾器規(guī)則。與簡單過濾相比，高級過濾增加了“數(shù)據(jù)包值”篩選、“數(shù)據(jù)包大小”篩選和“數(shù)據(jù)包模式配置”篩選條件，并提供多種邏輯關(guān)系來組合各種條件。如下圖：后面三種過濾規(guī)則就是高級過濾器

7、特有的過濾條件?？梢酝ㄟ^這些更為精確的條件進行過濾，幾乎可以匹配任何條件下的數(shù)據(jù)包?！暗刂?，端口，協(xié)議”這三種過濾條件和簡單過濾器中的一樣，這里就不再重復(fù)。下面我們分別介紹：“數(shù)據(jù)包值，數(shù)據(jù)包大小，數(shù)據(jù)包模式”。其界面分別如下：l 數(shù)據(jù)包值過濾器描述l 數(shù)據(jù)包大小過濾l 數(shù)據(jù)包模式匹配過濾器在設(shè)置高級過濾條件的時候，我們就需要了解工具條上的一些東西，抓圖如下：分別說明一下：命令內(nèi)容描述與(And)提供“與”關(guān)系，必須同時滿足關(guān)聯(lián)的兩個條件或(Or)提供“或”關(guān)系，至少要滿足其中一個條件非(Not)提供“否”關(guān)系，滿足的條件與設(shè)定的條件相反編輯(Edit)編輯選擇的過濾器設(shè)置刪除(Delete)

8、刪除選擇的過濾條件顯示圖標顯示過濾器的圖標顯示詳細內(nèi)容顯示過濾器的詳細信息下面我們來舉個例子來說明這幾個的操作，比如：在創(chuàng)建高級過濾器時，可以通過過濾器的工具條來組合各種條件，從下圖的流程我們可以看出，這是一個“與”和“非”的操作第三個是端口為1234。三個一起是一個“與”操作，要求同時滿足。下面我們在來設(shè)一下“或”，“與”“非”一起組合的：在這幾張抓圖中，我們可以看出，在高級過濾設(shè)置中提供一個非常直觀的過濾關(guān)系圖，圖中將展示設(shè)定的過濾條件的邏輯關(guān)系，通過網(wǎng)卡到主機的過達路徑，便可以很輕易看出過濾器的條件關(guān)系。3) 過濾器表過濾器表里，有系統(tǒng)自帶的過濾器，這些默認的過濾器，都屬于協(xié)議過濾器，是針對協(xié)議進行設(shè)置的。雙擊可以打開過濾器的屬于對話框，我們可以對過濾器的屬于進行修改。包括修改過濾器的名稱、注釋、顏色，以及過濾器所設(shè)置的條件。通過點擊工具欄上的快捷圖標來進入過濾器表，進入如下界面，可以對過濾器表進行管理：在上圖，我們可以對過濾器表里面的過濾器進行添加，修改。添加過濾器：方法就像前面所講的兩種過濾