При создании выражения фильтрации имейте в виду, что в буфере могут находиться кадры других узлов.
Укажите результирующее выражение фильтрации с необходимыми пояснениями. После просмотра результата для отображения пакетов без фильтрации нажмите кнопку «Clear» в строке фильтра.
В выражениях фильтрации первый операнд операции сравнения допускает использование указателя диапазона, если второй операнд представляет собой массив байт или строку символов. Указатель диапазона определяется с помощью квадратных скобок и может быть использован как применительно к кадру в целом (frame), так и с любым полем заголовка. Указатель диапазона допускает следующий синтаксис:
a. [i:j] начальное смещение i, длина j;
b. [i-j] начальное смещение i, конечное смещение j, включительно;
c. [i] начальное смещение i, длина 1;
d. [:j] начальное смещение 0, длина j;
e. [i:] начальное смещение i, до конца поля.
Например, записи frame[6:3] и eth.src[:3] идентичны и могут быть использованы для указания на код фирмы-производителя сетевого адаптера, передавшего кадр. Начальное смещение может иметь отрицательное значение, в этом случае оно отсчитывается от конца поля, причем последний байт поля имеет смещение, равное –1, предпоследний –2 и так далее. Например, выражение frame[-5:] == "hello" определяет кадр, оканчивающийся строкой «hello».
Строка, как видно из предыдущего примера, записывается в кавычках. Запись массива байт осуществляется побайтно в шестнадцатеричном виде с разделителем «.» или «:», например 00.45.f5.2d.
Используя символ «,» в указателе диапазона, можно перечислить несколько непересекающихся диапазонов, объединив их в одном операнде. Например, выражение tcp[2,10,13-16] == 00.01.c0.f8.01.66 сравнивает в заголовке протокола TCP поле «Тип обслуживания» с «0x00», поле «Протокол» с «0x01» и поле «IP-адрес источника» с «0xc0f80166».
10. Отобразите ICMP-ответы, используя в выражении фильтрации операнд «frame» с указателем диапазона.
При создании выражения фильтрации имейте в виду, что в буфере могут находиться кадры других узлов.
Укажите результирующее выражение фильтрации с необходимыми пояснениями. После просмотра результата для отображения пакетов без фильтрации нажмите кнопку «Clear» в строке фильтра.
Быстро вернуться к тому или иному ранее вводимому выражению фильтрации можно с помощью списка истории ввода, доступ к которому осуществляется нажатием на кнопку с символом «▼», расположенную в строке фильтра (не забывайте нажимать кнопку «Apply» для применения того или иного фильтра к буферу кадров).
Поиск кадров в буфере, удовлетворяющих тем или иным критериям, осуществляется с помощью команды меню Edit -> Find Packet. Диалоговое окно определения критериев поиска пакетов изображено на рис.2.4.
Рис.2.4. Диалоговое окно определения критериев поиска кадров
Критерии поиска можно определять в виде выражения фильтрации (Display filter), шаблона в шестнадцатеричном виде (Hex value) и текстовой строки (String) в кодировке ASCII и (или) Unicode. В первом случае можно использовать все допустимые выражения фильтрации и их логические комбинации. Во втором случае указывается шаблон для поиска в шестнадцатеричном коде. Поиск в строке может осуществляться в области общей информации о пакете (Packet list), в панели декодера протоколов (Packet details) и непосредственно в самом пакете (Packet bytes). Поиск может производиться вверх или вниз по списку пакетов (Direction).
Команды меню Edit -> Find Next и Edit -> Find Previous используются для поиска с заданными критериями следующего или предыдущего пакета соответственно.
11. Найдите все пакеты с помощью выражения фильтрации «icmp.type==0».
12. Найдите все пакеты по строке «reply» в области общей информации о пакете.
13. Найдите все пакеты по строке «reply» в панели декодера протоколов.
Проанализируйте результаты при разных вариантах поиска и дайте им объяснение.
В списке буфера ключевые или наиболее важные для дальнейшего анализа пакеты можно помечать с помощью команды Edit -> Mark Packet (toggle) основного меню или команды Mark Packet (toggle) контекстного меню. Эта возможность полезна при дальнейшем поиске таких пакетов в большом буфере, так как они выделяются другим цветом, а также при сохранении, экспортировании и печати пакетов.
Информация о маркированных пакетах нигде не сохраняется, поэтому все маркеры будут потеряны при выгрузке файла данных.
