Sniffer教程datapattern过滤器的定义VIP免费

Sniffer技术服务中心 Sniffer 教程1.1 -------范伟导fanweidao@hotmail.com 过滤器的定义 之data pattern 的定义 最近有许多网上的朋友问我Sniffer 的过滤器中data pattern 怎样定义，我在这里统一介绍一下。 所谓 data pattern 过滤，就是把数据包中某一特定位置的有相同特征的所有数据包选择出来。 比如说，最近一些用户网络中出现 445 端口的DOS 攻击，我想过滤出所有445 端口的流量，我就可以快速找出攻击的源头，可以怎么做？在这里445 就是我们要找的特征（pattern），但 445 可能在数据包很多位置会出现。所以我们必须指定，只有端口号那个位置是 445 的我才要，那么端口号那个位置怎么表示呢，我们可以采用偏移量（offset）的方式，比如说，从下图中，我们可以看到 445 是目的端口，用 16 进制表示为 0x01bd，那么pattern 就是 01bd（hex）。从以太网帧开始数，01bd 所在的位置偏移量为 0x24(十进制为 36)，注意：第一个字节的偏移量是 0。 对于目的端口为 445 的数据包。在data pattern 过滤中可以这样描述：从以太网帧开始，偏移量=0x24，pattern=0x01bd 的数据包。 当然，我们在advance 里选上TCP 就更准确了。 1 Sniffer技术服务中心 接下来我们练习如何做基于端口的过滤。 如果你用的是 4.8 版本，可以直接指定端口号就行，如下图 如果你用的是 4.75 版本，就需要用到 data pattern。 首先你在专家系统中的connection 层找到一个 445 端口的连接，如下图 2 1过滤一下，这种过滤方式，叫 v isu al filter。这个操作可以快速过滤出一个端口号为 445 连接。 2 Sniffer技术服务中心 3 接下来，我们定义一个过滤器：原端口或目的端口等于445。 选择菜单上 captu reÆdefine filter，下图显示定义过滤器的页面 Sniffer技术服务中心 首先，我们要给新的过滤器取个名字，比如叫port_445。 如下图，选择 profiles->New，在 New profile name 中输入 port_445。其他参考图示。 名字定义好的，按确定。我们再选中data pattern 的选项卡。选择 add pattern 4 Sniffer技术服务中心 在这里我们就可以添加新的pattern。刚才我们的trace file 里是 445 端口的一个连接， 2 1在这里，我们点亮目的端口=445 那一行，按一下 set data。上面就自动定义好了。我们可以看到 offset=0x 24，pattern=01bd。 我们再看一下 from：后面可以选择 pac...