Отобразите все кадры, переданные вашим узлом, исключая сообщения icmp.

      Комментарии к записи Отобразите все кадры, переданные вашим узлом, исключая сообщения icmp. отключены

При создании выражения фильтрации имейте в виду, что в буфере могут находиться кадры других узлов.

Укажите результирующее выражение фильтрации с необходимыми пояснениями. После просмотра результата для отображения пакетов без фильтрации нажмите кнопку «Clear» в строке фильтра.

В выражениях фильтрации первый операнд операции сравнения допускает использование указателя диапазона, если второй операнд представляет собой массив байт или строку символов. Указатель диапазона определяется с помощью квадратных скобок и может быть использован как применительно к кадру в целом (frame), так и с любым полем заголовка. Указатель диапазона допускает следующий синтаксис:

a. [i:j] начальное смещение i, длина j;

b. [i-j] начальное смещение i, конечное смещение j, включительно;

c. [i] начальное смещение i, длина 1;

d. [:j] начальное смещение 0, длина j;

e. [i:] начальное смещение i, до конца поля.

Например, записи frame[6:3] и eth.src[:3] идентичны и могут быть использованы для указания на код фирмы-производителя сетевого адаптера, передавшего кадр. Начальное смещение может иметь отрицательное значение, в этом случае оно отсчитывается от конца поля, причем последний байт поля имеет смещение, равное –1, предпоследний –2 и так далее. Например, выражение frame[-5:] == hello определяет кадр, оканчивающийся строкой «hello».

Строка, как видно из предыдущего примера, записывается в кавычках. Запись массива байт осуществляется побайтно в шестнадцатеричном виде с разделителем «.» или «:», например 00.45.f5.2d.

Используя символ «,» в указателе диапазона, можно перечислить несколько непересекающихся диапазонов, объединив их в одном операнде. Например, выражение tcp[2,10,13-16] == 00.01.c0.f8.01.66 сравнивает в заголовке протокола TCP поле «Тип обслуживания» с «0x00», поле «Протокол» с «0x01» и поле «IP-адрес источника» с «0xc0f80166».

10. Отобразите ICMP-ответы, используя в выражении фильтрации операнд «frame» с указателем диапазона.

При создании выражения фильтрации имейте в виду, что в буфере могут находиться кадры других узлов.

Укажите результирующее выражение фильтрации с необходимыми пояснениями. После просмотра результата для отображения пакетов без фильтрации нажмите кнопку «Clear» в строке фильтра.

Быстро вернуться к тому или иному ранее вводимому выражению фильтрации можно с помощью списка истории ввода, доступ к которому осуществляется нажатием на кнопку с символом «Ў», расположенную в строке фильтра (не забывайте нажимать кнопку «Apply» для применения того или иного фильтра к буферу кадров).

Поиск кадров в буфере, удовлетворяющих тем или иным критериям, осуществляется с помощью команды меню Edit — Find Packet. Диалоговое окно определения критериев поиска пакетов изображено на рис.2.4.

Рис.2.4. Диалоговое окно определения критериев поиска кадров

Критерии поиска можно определять в виде выражения фильтрации (Display filter), шаблона в шестнадцатеричном виде (Hex value) и текстовой строки (String) в кодировке ASCII и (или) Unicode. В первом случае можно использовать все допустимые выражения фильтрации и их логические комбинации. Во втором случае указывается шаблон для поиска в шестнадцатеричном коде. Поиск в строке может осуществляться в области общей информации о пакете (Packet list), в панели декодера протоколов (Packet details) и непосредственно в самом пакете (Packet bytes). Поиск может производиться вверх или вниз по списку пакетов (Direction).

Команды меню Edit — Find NextиEdit — Find Previous используются для поиска с заданными критериями следующего или предыдущего пакета соответственно.

11. Найдите все пакеты с помощью выражения фильтрации «icmp.type==0».

12. Найдите все пакеты по строке «reply» в области общей информации о пакете.

13. Найдите все пакеты по строке «reply» в панели декодера протоколов.

Проанализируйте результаты при разных вариантах поиска и дайте им объяснение.

В списке буфера ключевые или наиболее важные для дальнейшего анализа пакеты можно помечать с помощью команды Edit — Mark Packet (toggle) основного меню или команды Mark Packet (toggle) контекстного меню. Эта возможность полезна при дальнейшем поиске таких пакетов в большом буфере, так как они выделяются другим цветом, а также при сохранении, экспортировании и печати пакетов.

Информация о маркированных пакетах нигде не сохраняется, поэтому все маркеры будут потеряны при выгрузке файла данных.

Статьи к прочтению:

Internet Control Message Protocol (ICMP) — SixtySec


Похожие статьи: