Sniffer技术服务中心 Sniffer 教程1.1 -------范伟导fanweidao@hotmail.com 过滤器的定义 之data pattern 的定义 最近有许多网上的朋友问我Sniffer 的过滤器中data pattern 怎样定义,我在这里统一介绍一下。 所谓 data pattern 过滤,就是把数据包中某一特定位置的有相同特征的所有数据包选择出来。 比如说,最近一些用户网络中出现 445 端口的DOS 攻击,我想过滤出所有445 端口的流量,我就可以快速找出攻击的源头,可以怎么做?在这里445 就是我们要找的特征(pattern),但 445 可能在数据包很多位置会出现。所以我们必须指定,只有端口号那个位置是 445 的我才要,那么端口号那个位置怎么表示呢,我们可以采用偏移量(offset)的方式,比如说,从下图中,我们可以看到 445 是目的端口,用 16 进制表示为 0x01bd,那么pattern 就是 01bd(hex)。从以太网帧开始数,01bd 所在的位置偏移量为 0x24(十进制为 36),注意:第一个字节的偏移量是 0。 对于目的端口为 445 的数据包。在data pattern 过滤中可以这样描述:从以太网帧开始,偏移量=0x24,pattern=0x01bd 的数据包。 当然,我们在advance 里选上TCP 就更准确了。 1 Sniffer技术服务中心 接下来我们练习如何做基于端口的过滤。 如果你用的是 4.8 版本,可以直接指定端口号就行,如下图 如果你用的是 4.75 版本,就需要用到 data pattern。 首先你在专家系统中的connection 层找到一个 445 端口的连接,如下图 2 1过滤一下,这种过滤方式,叫 v isu al filter。这个操作可以快速过滤出一个端口号为 445 连接。 2 Sniffer技术服务中心 3 接下来,我们定义一个过滤器:原端口或目的端口等于445。 选择菜单上 captu reÆdefine filter,下图显示定义过滤器的页面 Sniffer技术服务中心 首先,我们要给新的过滤器取个名字,比如叫port_445。 如下图,选择 profiles->New,在 New profile name 中输入 port_445。其他参考图示。 名字定义好的,按确定。我们再选中data pattern 的选项卡。选择 add pattern 4 Sniffer技术服务中心 在这里我们就可以添加新的pattern。刚才我们的trace file 里是 445 端口的一个连接, 2 1在这里,我们点亮目的端口=445 那一行,按一下 set data。上面就自动定义好了。我们可以看到 offset=0x 24,pattern=01bd。 我们再看一下 from:后面可以选择 pac...
