КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Фильтр отображения пакетов
|
|
|
|
С помощью фильтра отображения можно быстро убрать «мусор». Выражение фильтрации может представлять собой просто название протокола, который присутствует в пакете на том или ином уровне вложенности. Например: arp — для отображения пакетов протокола ARP, tcp — для отображения пакетов, в которых присутствует заголовок протокола TCP.
ВЫПОЛНИТЬ!
6. Для отображения только ICMP-сообщений в строке ввода «Filter» (рис. 1.2) наберите «icmp» и нажмите кнопку «Apply».
Более сложные выражения фильтрации строятся с помощью зарезервированных слов, обычно представляющих собой названия полей заголовков то-го или иного протокола, знака операции сравнения и конкретного значения в шестнадцатеричном или десятичном виде. Наиболее часто используемые выражения фильтрации и их значения приведены в табл. 1.1.
Таблица 1.1
| Выражения фильтрации и их значения Выражение | Значение выражения и пример записи |
| frame.marked | Маркированный кадр frame.marked == true |
| frame.number | Номер кадра frame.number == 150 |
| frame.time | Время захвата кадра frame.time == "Feb 1, 2006 09:00:00" |
| frame.pkt_len | Длина кадра frame.pkt_len == 48 |
| eth.dst | Заголовок Ethernet: MAC-адрес назначения eth.dst == 01:00:5e:00:00:02 |
| eth.src | Заголовок Ethernet: MAC-адрес источника eth.src == 00:a0:cc:30:c8:db |
| eth.type | Заголовок Ethernet: тип вложенного протокола eth.type == 0x0800 |
| arp.hw.type | Заголовок протокола ARP: тип протокола канального уровня arp.hw.type == 0x0001 |
| arp.proto.type | Заголовок протокола ARP: тип протокола сетевого уровня arp.proto.type == 0x0800 |
| arp.opcode | Заголовок протокола ARP: код операции arp.opcode == 0x0001 |
| arp.src.hw_mac | Заголовок протокола ARP: MAC-адрес источника arp.src.hw_mac == 00:10:4b:30:c4:4a |
| arp.src.proto_ipv4 | Заголовок протокола ARP: IP-адрес источника arp.src.proto_ipv4 == 10.1.0.1 |
| arp.dst.hw_mac | Заголовок протокола ARP: MAC-адрес назначения arp.dst.hw_mac == 00:00:00:00:00:00 |
| arp.dst.proto_ipv4 | Заголовок протокола ARP: IP-адрес назначения arp.dst.proto_ipv4 == 10.1.0.2 |
| ip.version | Заголовок протокола IP: версия протокола IP ip.version == 4 |
| ip.hdr_len | Заголовок протокола IP: длина заголовка ip.hdr_len == 24 |
| ip.flags.df | Заголовок протокола IP: флаг фрагментации ip.flags.df == 0 |
| ip.flags.mf | Заголовок протокола IP: флаг не последнего фрагмента ip.flags.mf == 0 |
В примерах записи выражений табл. 1.1 приведены выражения с операцией сравнения «Равно», которая записывается с помощью двойного знака равенства «==» (допустимо использование «eq»). Другие операции сравнения записываются с помощью следующих операторов:
a.!= (ne)— не равно, пример: eth.type!= 0x0800;
b. > (gt)— больше, пример: tcp.srcport > 1023;
c. < (lt)— меньше, пример: frame.pkt_len lt 60;
d. >= (ge)— больше или равно, пример: frame.pkt_len ge 60;
e. <= (le)— меньше или равно, пример: tcp.dstport <=1023.
ВЫПОЛНИТЬ!
7. Выясните, что будет отображено в буфере захвата в случае использования фильтра, описанного с помощью выражений, приведенных в качестве вышеописанных примеров.
Значение любого выражения фильтрации возвращает переменную булевского типа. Таким образом, выражение udp означает присутствие в кадре заголовка протокола UDP, по аналогии с этим выражение tcp.flags.syn означает присутствие в заголовке протокола TCP бита синхронизации сессии в установленном состоянии (значение 1). К любому из выражений можно применить операцию логического отрицания, заключив его в скобки и поставив перед ним знак отрицания «NOT» или «!». Например, выражение!(ip.addr == 10.0.0.1) означает, что из буфера отображения необходимо убрать все пакеты, в которых встречается IP-адрес 10.0.0.1.
ВЫПОЛНИТЬ!
8. Объясните разницу между результатами использования выражений фильтрации!(ip.addr == X.X.X.X) и ip.addr!== X.X.X.X. Для выполнения упражнения в выражениях фильтрации используйте вместо адреса X.X.X.X реальный IP-адрес вашего узла.
В качестве выражений фильтрации можно использовать и составные выражения, которые образуются с помощью следующих логических операторов:
a. && (AND) — логическое И, пример: (ip.dst==10.0.0.1) AND tcp.flags.syn;
b. || (OR) — логическое ИЛИ, пример: (ip.addr==10.0.0.1) OR (ip.addr==10.0.0.2).
Другой удобный способ ввода выражения фильтрации состоит в следующем. На панели декодера протоколов отображается требуемое поле, в контекстном меню выбирается пункт «Apply as Filter» и далее исполняется либо команда «Selected», либо «Not Selected» в зависимости от задачи фильтрации (рис. 1.3).
ВЫПОЛНИТЬ!
9. Отобразите только ICMP-запросы (используйте поле «тип» в заголовке ICMP). Укажите результирующее выражение фильтрации с необходимыми пояснениями. После просмотра результата для отображения пакетов без фильтрации нажмите кнопку «Clear» в строке фильтра.
При необходимости создания сложного выражения фильтрации в меню «Apply as Filter» (рис. 1.3) выбирайте команды, начинающиеся с многоточия, при этом новое выражение будет добавлено к результирующему выражению фильтрации.
10. Отобразите все кадры, переданные вашим узлом, исключая сообщения ICMP.
При создании выражения фильтрации имейте в виду, что в буфере могут находиться кадры других узлов.
Укажите результирующее выражение фильтрации с необходимыми пояснениями. После просмотра результата для отображения пакетов без фильтрации нажмите кнопку «Clear» в строке фильтра.
В выражениях фильтрации первый операнд операции сравнения допускает использование указателя диапазона, если второй операнд представляет собой массив байт или строку символов. Указатель диапазона определяется с помощью квадратных скобок и может быть использован как применительно к кадру в целом (frame), так и с любым полем заголовка. Указатель диапазона допускает следующий синтаксис:
a. [i:j] начальное смещение i, длина j;
b. [i-j] начальное смещение i, конечное смещение j, включительно;
c. [i] начальное смещение i, длина 1;
d. [:j] начальное смещение 0, длина j;
e. [i:] начальное смещение i, до конца поля.
Например, записи frame[6:3] и eth.src[:3] идентичны и могут быть использованы для указания на код фирмы-производителя сетевого адаптера, передавшего кадр. Начальное смещение может иметь отрицательное значение, в этом случае оно отсчитывается от конца поля, причем последний байт поля имеет смещение, равное –1, предпоследний –2 и так далее. Например, выражение frame[-5:] == "hello" определяет кадр, оканчивающийся строкой «hello».
Рис. 1.3. Контекстное меню создания фильтра
Строка, как видно из предыдущего примера, записывается в кавычках. Запись массива байт осуществляется побайтно в шестнадцатеричном виде с разделителем «.» или «:», например 00.45.f5.2d.
Используя символ «,» в указателе диапазона, можно перечислить несколько непересекающихся диапазонов, объединив их в одном операнде. Например, выражение tcp[2,10,13-16] == 00.01.c0.f8.01.66 сравнивает в заголовке протокола TCP поле «Тип обслуживания» с «0x00», поле «Протокол» с «0x01» и поле «IP-адрес источника» с «0xc0f80166».
ВЫПОЛНИТЬ!
11. Отобразите ICMP-ответы, используя в выражении фильтрации операнд «frame» с указателем диапазона.
При создании выражения фильтрации имейте в виду, что в буфере могут находиться кадры других узлов.
Укажите результирующее выражение фильтрации с необходимыми пояснениями. После просмотра результата для отображения пакетов без фильтрации нажмите кнопку «Clear» в строке фильтра.
Быстро вернуться к тому или иному ранее вводимому выражению фильтрации можно с помощью списка истории ввода, доступ к которому осуществляется нажатием на кнопку с символом «▼», расположенную в строке фильтра (не забывайте нажимать кнопку «Apply» для применения того или иного фильтра к буферу кадров).
|
|
|
|
|
Дата добавления: 2014-01-15; Просмотров: 1447; Нарушение авторских прав?; Мы поможем в написании вашей работы!