Файловый архив студентов. Файловый архив студентов.
1306 вузов, 5172 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Хмельницкий национальный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
metoda.doc
Скачиваний:
0
Добавлен:
01.04.2025
Размер:
268.29 Кб
Скачать
►Содержание►

1.2. Фильтры отображения.

Фильтры отображения представляют собой достаточно мощное средство отображения трафика. Фильтры задаются в строке, располагающейся внизу основного экрана. Простейший фильтр отображения, позволяет отобрать пакеты по тому или иному протоколу. Для этого в строке требуется указать название протокола (например IPX) и нажать кнопку «Aplay». После этого в верхнем окне останутся пакеты, принадлежащие этому протоколу. Кнопкой «Reset» действие фильтра отменяется.

Для работы с фильтрами можно вызвать окно Edit/Display Filters. Можно сохранять созданные выражения под определенными именами для последующего использования и т.д.

С помощью логических операций (синтаксис языка Си) можно составлять логические выражения. Логическая истина - 1, ложь - 0.

Список логических операций:

eq

==

Равенство

ne

!=

не равно

gt

>

больше чем

Lt

<

меньше чем

ge

>=

больше равно

Le

<=

меньше равно

Например: tcp.port == 80 || tcp.port == 53

1.3. Структура окна захвата.

В окне задаются параметры для настройки режима захвата пакетов из сети.

Рисунок 2

Окно вызывается через меню Capture/Start, или по комбинации клавиш CTRL+K.

Рассмотрим основные параметры:

  1. Interface

Выбирается сетевой интерфейс (реальный или виртуальный), через который будет осуществляться захват.

  1. Filter

По нажатию на кнопку «Filter» можно применить тот или иной фильтр отбора (из ранее сохраненных). Если таковых не имеется, его можно указать явно в строке редактирования.

  1. Update list of packets in real time

Обновление списка захваченных пакетов в режиме реального времени.

  1. Набор параметров Capture limits

Позволяют задать то или иное значение при достижении, которого процесс захвата пакетов прекратится.

  1. Набор параметров разрешения имен

Позволяют определить какие из способов разрешения имен должны использоваться.

1.4. Фильтры захвата

С помощью данных фильтров можно захватывать из сети только те пакеты, которые подходят под критерий отбора. Если не задано никакого фильтра, то будут захватываться все пакеты. В противном случае только пакеты, для которых указанное выражение будет истинным. Выражение состоит из одного или более примитивов разделенных пробельными символами.

Существует три различных типа примитивов:

  1. type

Спецификатор type определяет тип параметра. Возможные параметры:

  • host;

  • net;

  • port.

Например:

host unicorn

net 172.23.0

port 20

Если не указано никакого типа предполагается что это параметр host.

  1. dir

Спецификатор определят направление передачи. Возможные направления:

  • src;

  • dst;

  • src or dst;

  • src and dst.

Например:

src unicorn

dst net 172.23

src or dst port ftp-data

Если не определено направление то предполагается направление «src or dst». Для протоколов типа point-to-point используются спецификаторы inbound и outbound.

  1. proto

Спецификатор определят тип протокола, которому принадлежит пакет.

Возможные протоколы:

  • ether;

  • fddi;

  • tr;

  • ip/ipv6;

  • arp/rarp;

  • decent;

  • tcp;

  • udp.

Например:

ether src unicorn

arp net 128.3

tcp port 21

Если протокол не определен, то будут захватываться пакеты всех протоколов. То есть: «src unicorn» означает «(ip or arp or rarp) src unicorn», «net bar» означает «(ip or arp or rarp) net bar» «port 53» означает «(tcp or udp) port 53».

Также существует несколько специальных спецификаторов, которые не попадают в описанные выше случаи:

  • gateway;

  • broadcast;

  • less;

  • greater;

  • арифметические выражения.

Сложные фильтры захвата строятся с использованием логических выражений and, or and not.

Например:

host foo and not port ftp and not port ftp-data

Полный список примитивов:

dst host host

Истина, если поле назначения пакета IPv4/v6 равно указанному

значению host.

src host host

Истина, если поле адресата пакета IPv4/v6 равно указанному значению host.

host host

Истина, если поле адресата ИЛИ источника пакета IPv4/v6 равно указанному значению host.

ether dst ehost

Истина, если MAC-адрес адресата равен указанному значению поля ehost.

ether src ehost

Истина, если MAC-адрес источника равен указанному значению поля ehost.

ether host ehost

Истина, если MAC-адрес источника ИЛИ адресата равен указанному значению поля ehost.

gateway host

Истина, если пакет использует указанный host как гейтвей.

dst net net

Истина, если адрес назначения пакета IPv4/v6 - номер сети net.

src net net

Истина, если адрес источника пакета IPv4/v6 - номер сети net.

net net

Истина, если адрес источника ИЛИ назначения IPv4/v6 - номер сети net.

net net mask mask

Истина, если IP адрес совпадает c сетью net и подходит под указанную маску сети mask. (только для IPv4).

net net/len

Истина, если адрес назначения пакета IPv4/v6 является адресом сети net, с заданной маской /len, где len-число бит отведенных под номер сети. Может быть дополнено спецификатором dir (src или dst).

dst port port

Истина, если пакет – пакет протоколов ip/tcp, ip/udp, ip6/tcp или ip6/udp и его порт назначения port. Значение порта может быть указано как число (/etc/services).

Например: dst port 513

src port port

Истина, если пакет – пакет протоколов ip/tcp, ip/udp, ip6/tcp или ip6/udp и его порт источника port. Значение порта может быть указано

как число (/etc/services).

Например: src port 513

port port

Истина, если номер порта соответствует указанному значению port.

Направление передачи не учитывается.

less length

Истина, если длинна пакета меньше или равна указанному значению

length. len <= length

greater length

len >= length

ip proto protocol

Истина, если пакет является пакетом IP. Значение параметра protocol может быть следующее icmp, icmp6, igmp, igrp, pim,ah, esp, udp, или tcp.

ether broadcast

Истина, если пакет - широковещательный (ключевое слово ether можно опустить)

ip broadcast

Истина, если пакет - широковещательный пакет IP.

ether multicast

Истина, если пакет - мультикастовый.

ip multicast

Истина, если пакет - мультикастовый пакет IP.

ip, ip6, arp, rarp, atalk, aarp, decnet, iso

Сокращение для: ether proto p, где p один из перечисленных протоколов.

tcp, udp, icmp

Сокращения для: ip proto p or ip6 proto p, где p один из перечисленных выше протоколов.

expr relop expr

Истина, если результат выражения true. relop - логическая операция >, <, >=, <=, =, !=, а expr - арифметическое выражение, константа или выражение полученное с помощью арифметических операций +, -, *, /, &, |. Для доступа к данным, находящимся внутри пакета используется следующий синтаксис:

proto [expr : size]

  • proto - протокол - ether, fddi, tr, ip, arp, rarp, tcp, udp, icmp.

  • expr - байт смещения от начала пакета.

  • size - опциональный параметр, означает количество байт в интересующем поле пакета. По умолчанию - 1.

Примитивы могут объединятся посредством логических операций. Список операций:

not

!

отрицание

and

&&

конкатенация (логическое И)

or

||

альтернатива (логическое ИЛИ)

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности