軟件使用科來網絡分析系統(tǒng)過濾器使用介紹VIP

1、軟件使用 科來網絡分析系統(tǒng)過濾器使用介紹一、 目的概述設置過濾器是我們改變捕獲數(shù)據范圍的重要手段。通過過濾器，我們可以只捕獲所需的特定數(shù)據包，把重要的數(shù)據分離出來。這樣用戶就可以只關注存在網絡故障或網絡攻擊的數(shù)據信息，而不用在大量的數(shù)據中逐個尋找。學習使用是為了讓用戶更好的使用過濾器這個模塊，讓用戶在使用軟件中，通過設置過濾器捕獲到自己需要的數(shù)據進行分析，從而分析的工作量相對減少，進而提高工作效率。二、 介紹及作用首先，我們現(xiàn)在認識一下過濾器。顧名思義，聽名字就知道大概意思。我們這里所說的過濾器是為捕獲某種特定數(shù)據通訊所設定的規(guī)則或條件，設置好一個過濾器后，系統(tǒng)將按照此過濾器的工作狀態(tài)分析處理

2、符合設定條件的數(shù)據包。工作原理：系統(tǒng)通過網卡采集到網絡中傳輸?shù)脑紨?shù)據包，與過濾器的設置進行匹配，將符合設定條件的數(shù)據包送到系統(tǒng)的分析模塊進行分析處理，不符合條件的數(shù)據包則直接丟棄。作用：使用系統(tǒng)的默認配置，可以捕獲網絡中的所有數(shù)據通訊，方便對整個網絡的工作狀況進行分析。不過，在網絡流量很大，且用戶僅需要查看其中某種數(shù)據通訊的情況時，默認情況下捕獲的結果中就會存在一些不必要的冗余信息，不便于用戶對故障的分析和排查。這時，使用系統(tǒng)提供的過濾器或自定義過濾條件，即可實現(xiàn)方便快速的察看到需求的數(shù)據。三、 界面及相關介紹我們可以通過菜單或者工具欄快捷按鈕來進入過濾器的對話框：工程過濾器過濾器主界面，如

3、圖1：（圖1 工程設置中過濾器設置）此圖只顯示了默認情況，要對過濾器進行添加過濾條件，也可以對以前設置好的或者系統(tǒng)提供的過濾器進行編輯，也可對過濾器文件進行導入和導出操作，這些都在主界面窗口的右邊按鈕選項進行。四、 相關操作及注意下面我們就以一些類似例子的方式，分別詳細的介紹過濾器的一些功能選項設置及操作來具體介紹。1）使用軟件提供的過濾器表說明：軟件在設計中歸納了一些過濾器，這些是用戶可能經常使用而制定的；軟件默認了很多過濾器，具體操作如下：先進入過濾器主界面（如圖1），點擊右側添加從過濾器表，進入提供的過濾器表選擇界面，如（圖2）（圖2 過濾器表）在圖2中，我們看到了系統(tǒng)提供的這些過濾器，

4、下面我們就以TCP為例，我們選擇TCP，這樣我們就完成了對TCP進行了過濾了，在捕獲的數(shù)據中，我們就只看到數(shù)據包中TCP的相關信息。注：我們可以選擇一個或者多個來搭配，從而來完成我們需要。在最下面，我們也看到了兩個選擇信息，字面意思很好理解，他們是相反的，這就看用戶你的需要和習慣了。2）添加新過濾器添加新過濾器就是用戶自己根據需求自己來設定添加過濾條件，在Capsa5.5中，提供兩種：簡單過濾器和高級過濾器；下面我們就來分別介紹使用。a) 簡單過濾器操作如下：過濾器主界面，右側添加新過濾器，進入簡單過濾器界面如（圖3）：（圖3 簡單過濾器設置界面）說明：圖3中就是簡單過濾器的操作界面，在操作使

5、用：首先，了我們方便和明確我們過濾的目的及內容，我們可以在名稱和注釋中填入相關內容；設置條件分三塊組成：地址過濾，端口過濾，協(xié)議過濾；在設置IP地址、MAC地址、端口這些條件時，可以選擇數(shù)據包傳輸?shù)姆较?。這樣可以很精確的進行篩選數(shù)據。而設定協(xié)議條件時，可以選擇一個或多個協(xié)議進行篩選。簡單過濾中的篩選條件可以任意組合，并且為了查看方便，可指定協(xié)議的顏色以區(qū)別其它協(xié)議。l 地址過濾選擇地址進行過濾時，你可指定物理地址、IP地址、IP范圍、IP掩碼來定義雙方的地址，同時，也可以對數(shù)據包的傳輸方向做控制，可設定是單向的或是雙向的數(shù)據。點擊，也可從“名字表”里面選擇物理地址或IP。點擊圖標，可查看地址過

6、濾的格式。這里我們假設地址1為為例，方向為雙向，地址2為任意。l 端口過濾端口過濾也提供多種方式，用戶可選擇單個端口，也可是一個端口范圍，或是多個端口。在選擇端口值時，也可以通過名字表，選擇048556的端口值，如下圖所示：l 協(xié)議過濾協(xié)議過濾提供一個完整的協(xié)議樹，用戶可以選擇一種或多種協(xié)議來定義過濾條件，點擊選擇進入界面，如下圖所示：b) 高級過濾器界面如（圖4）：說明：圖4就是高級過濾器的界面，但是我們還沒有添加過濾器規(guī)則。與簡單過濾相比，高級過濾增加了“數(shù)據包值”篩選、“數(shù)據包大小”篩選和“數(shù)據包模式配置”篩選條件，并提供多種邏輯關系來組合各種條件。如下圖：后面三種過濾規(guī)則就是高級過濾器

7、特有的過濾條件?？梢酝ㄟ^這些更為精確的條件進行過濾，幾乎可以匹配任何條件下的數(shù)據包。“地址，端口，協(xié)議”這三種過濾條件和簡單過濾器中的一樣，這里就不再重復。下面我們分別介紹：“數(shù)據包值，數(shù)據包大小，數(shù)據包模式”。其界面分別如下：l 數(shù)據包值過濾器描述l 數(shù)據包大小過濾l 數(shù)據包模式匹配過濾器在設置高級過濾條件的時候，我們就需要了解工具條上的一些東西，抓圖如下：分別說明一下：命令內容描述與(And)提供“與”關系，必須同時滿足關聯(lián)的兩個條件或(Or)提供“或”關系，至少要滿足其中一個條件非(Not)提供“否”關系，滿足的條件與設定的條件相反編輯(Edit)編輯選擇的過濾器設置刪除(Delete)

8、刪除選擇的過濾條件顯示圖標顯示過濾器的圖標顯示詳細內容顯示過濾器的詳細信息下面我們來舉個例子來說明這幾個的操作，比如：在創(chuàng)建高級過濾器時，可以通過過濾器的工具條來組合各種條件，從下圖的流程我們可以看出，這是一個“與”和“非”的操作第三個是端口為1234。三個一起是一個“與”操作，要求同時滿足。下面我們在來設一下“或”，“與”“非”一起組合的：在這幾張抓圖中，我們可以看出，在高級過濾設置中提供一個非常直觀的過濾關系圖，圖中將展示設定的過濾條件的邏輯關系，通過網卡到主機的過達路徑，便可以很輕易看出過濾器的條件關系。3) 過濾器表過濾器表里，有系統(tǒng)自帶的過濾器，這些默認的過濾器，都屬于協(xié)議過濾器，是針對協(xié)議進行設置的。雙擊可以打開過濾器的屬于對話框，我們可以對過濾器的屬于進行修改。包括修改過濾器的名稱、注釋、顏色，以及過濾器所設置的條件。通過點擊工具欄上的快捷圖標來進入過濾器表，進入如下界面，可以對過濾器表進行管理：在上圖，我們可以對過濾器表里面的過濾器進行添加，修改。添加過濾器：方法就像前面所講的兩種過濾