软件比较 - Sniffer、Omnipeek、科来网络分析系统过滤器比较之位过滤 在捕获数据包时,有时候需要对一个字节中的某一个位进行精确匹配,这时,我们就需要用到位过滤。位过滤相对于地址、端口、协
软件比较- Sniffer、Omnipeek、科来网络分析系统过滤器比较之位过滤
在捕获数据包时,有时候需要对一个字节中的某一个位进行精确匹配,这时,我们就需要用到位过滤。位过滤相对于地址、端口、协议过滤而言,是一种比较高级的条件过滤,其主要用于捕获某种特殊应用的数据通讯。
下面我们分别使用Sniffer、Omnipeek、科来网络分析系统,来学习位过滤的设置方法,这里我们以捕获TCP同步数据包(TCP三次握手第一步的数据包)为例。
我们知道,TCP标志位在EthernetII数据包中的偏移量是47(Ethernet II报头14,IP报头20,TCP源端口2,TCP目标端口2,TCP序列号4,TCP确认号4,TCP偏移量1,即14+20+2+2+4+4+1=47)。TCP标记位中同步位为1的数据包,就是TCP同步位置包,下面是一个TCP同步数据包的解码图(只截取了TCP标志部分),可以看到,TCP同步数据包的值是TCP标志位的值是10(二进制)或02(16进制)或2(10进制,8进制)。
根据上图TCP标记的解码信息,我们在上述三种最常用的分析软件中设置TCP同步数据包的过滤器。
1. Sniffer
打开Sniffer的过滤器,选择DataPattern选项卡,单击Add Pattern按钮,弹出Edit Pattern对话框,并进行如下图所示的设置。
2. Omnipeek
选择“View-Filters”,单击Insert按钮,打开Omnipeek的过滤器,在弹出的对话框中选择高级过滤器(Advanced),并选择“And-Value”,并进行如下图所示的设置。
3. 科来网络分析系统
单击工具栏上的“过滤器”按钮,打开系统的过滤器窗口,单击“添加-新过滤器”,在弹出的对话框中选择高级过滤器,并选择“与-数据包值”,并进行如下图所示的设置。
从上面可以看出,三种网络分析软件都可以实现要求,但却略有不同。
Sniffer不能对位进行过滤,只能精确到字节(或许Sniffer可以用其它方法实现,但我未找到),虽然设置值后也可捕获到所须数据包,但这样会降低捕获的效率,对于其它的某些情况,或许还可能导致出现错误的信息。
Omnipeek添加了位偏移,能对位进行过滤,可以精确捕获所需的数据包,有效满足我们的需要,且提高捕获效率,不过Omnipeek中这里的值只能是10进制。
科来网络分析系统也添加了位移,能对位进行过滤,可以精确捕获所需的数据包,有效满足我们的需要,且提高捕获效率,另外在科来网络分析系统中,值的类型可以是16进制、10进制(无符号、有符号)、2进制、8进制。
总结:个人认为,在位偏移这个功能上,科来网络分析系统和Omnipeek值得称道,而Sniffer则应该加强。
成都科来软件有限公司
www.colasoft.ocm.cn
2006年6月
软件比较 - Sniffer、Omnipeek、科来网络分析系统过滤器比较之位过滤 在捕获数据包时,有时候需要对一个字节中的某一个位进行精确匹配,这时,我们就需要用到位过滤。位过滤相对于地址、端口、协相关推荐
- 科来网络分析系统概要介绍
转自:[url]http://www.csna.cn/viewthread.php?tid=10545[/url] (小窍门:如何用50节点的技术交流版诊断50节点以上的网络,本人现在的网络有90个节 ...
- Wireshark 中文版这款软件如何来捕获数据包的?
Wireshark 中文版是一款mac网络协议分析软件,任何负责的网络分析人员都对这个软件情有独钟.如今,几乎没有哪种产品像它这样拥有如此持久的魅力,很容易看出其中的原因.网管员如果想知道自己的网络上 ...
- Linux系统捕获数据包流程
Linux系统捕获数据包流程 为了提高数据包的捕获效率,瓶颈问题是一个需要非常关注的焦点.减少在捕获数据包过程中的瓶颈,就能够提高数据包捕获的整体性能.下面本文将以Linux操作系统为平台,分析捕获数 ...
- Wireshark过滤规则筛选数据包
一.IP过滤:包括来源IP或者目标IP等于某个IP 比如:ip.src addr192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP ip.dst ...
- Jpcap过滤GTunnel程序数据包
程序实现的目标 这次的目标要拿到纯的GTunnel数据包. GTunnel简要介绍 GTunnel是一款代理软件,该软件有4种模式--"标准模式"."Skype模式&qu ...
- Linux 系统应用编程——网络编程(TCP/IP 数据包格式解析)
图中括号中的数字代表的是当前域所占的空间大小,单位是bit位. 黄色的是数据链路层的头部,一共14字节 绿色的部分是IP头部,一般是20字节 紫色部分是TCP头部,一般是20字节 最内部的是数据包内容 ...
- 关于科来网络分析系统的激活
科来是我使用过的最好的网络分析软件,而且难能可贵的居然还是国产的.只可惜该软件需要激活,否则只能使用两次好像. 虽然可以免费申请,但也太慢了,其实你可以这样做.打开这个页面http://www.csn ...
- (无刀流 龙卷风)科来网络分析系统免费版下载
1 使用科来抓包分析网络 1.1 目的 1)官网下载科来 1.2 步骤 实现此案例需要按照如下步骤进行. 1)官网下载链接 https://www.colasoft.com.cn/download/ ...
- Wireshark条件过滤后的数据包保存
首先,用条件选择来过滤得到自己想要的数据,然后点击FILE->Export Specified Packets!
- 获取一个字节byte的某位bit
1.获取高4位bit值 public int getHeight4(byte data){//获取高四位int height;height = ((data & 0xf0) >> ...
最新文章
- j2ee安全介绍--转
- ORA-00257+mysql_ORA-00257错误的解决办法
- [蓝桥杯][算法提高VIP]最小乘积(提高型)-排序
- win mysql 2003错误_windows MySql 报1067错误 2003错误
- win10安装masm32 SDK并运行一个小程序
- python 登陆微博 被删除 token_爬取微博信息,使用了cookie仍然无法登录微博
- 作者:陈昕(1982-),女,博士,中国科学院计算机网络信息中心研究员
- HDU 6274 Master of Sequence (暴力+下整除)
- 阶段1 语言基础+高级_1-3-Java语言高级_09-基础加强_第1节 基础加强_3_Junit_使用步骤...
- 解决M1的mac打开JD-GUI报错问题(超简单)
- 计算机vga,电脑启用vga模式是什么意思?怎么修复?
- Dart语言编程基础
- Spark 学习笔记——001【spark-mysql+spark-hive】
- 百度大脑手写文字识别使用攻略
- Spire.PDF:如何添加、删除PDF页面以及自定义文档属性
- linux系统下深度学习环境搭建和使用
- xxxxxxxxxxxxx
- c语言汉诺塔移动次数,C语言计算汉诺塔最小挪动步数 (二)
- win10玩cf不能全屏_神奇的工作室ghost 不能启动
- 创建新环境后,如何在Jupyter Notebook中使用新环境?