如何設置協議分析儀的過濾器？

設（shè）置協議（yì）分析儀的（de）過濾器是高效捕獲和分析目標（biāo）網絡（luò）流量的關鍵步驟，需結（jié）合協（xié）議類型、字段（duàn）匹配、邏輯組合（hé）等技巧。以下（xià）是詳細的設置方法及優化建議：

一、過濾器設置基礎步驟

1. 選擇過濾（lǜ）模式
   • 捕（bǔ）獲前過濾（lǜ）：在開始捕獲前設置規則，減少無關數據存儲，提升效率。
   • 捕獲後過濾：先捕獲（huò）全部流量，再（zài）通（tōng）過過濾規則篩選（xuǎn）關鍵數據，適合不確定目標特征（zhēng）時使（shǐ）用。
2. 進（jìn）入過濾配置界麵
   • 打開協（xié）議分析儀（yí）軟件（如Wireshark、Ellisys USB Explorer、Beagle USB 5000等），找到“Filter”或“Capture Filter”選項卡。
   • 部分設備（如硬件協議分析儀）可能（néng）通過物理按鈕或Web界麵配置過濾規則。
3. 選擇協議類型
   • 從協議（yì）列表（biǎo）中選擇目標協議（如HTTP、TCP、USB、I2C等）。例如：
     • HTTP過濾：分析網頁請求時，選擇HTTP協議。
     • USB過濾：分析設備通信時，選擇USB協議（yì）並指定設備地址或端點。

二、構建過濾條件

1. 基礎字段過濾

• 源/目的地址（zhǐ）過濾：

  plaintextip.src == 192.168.1.100  // 僅顯示源IP為192.168.1.100的（de）數據包tcp.dstport == 80        // 僅顯（xiǎn）示目標端口為80（HTTP）的TCP流量

• 協議特定字段過濾：
  • HTTP請求方法：

    plaintexthttp.request.method == "POST"  // 僅顯示HTTP POST請求

  • USB設備地址：

    plaintextusb.device_address == 5  // 僅顯示設備（bèi）地址為5的USB通信

2. 組合邏輯過濾（lǜ）

• 邏輯運算符：使用and、or、not組合條件。例如（rú）：

  plaintext(tcp.port == 443 or tcp.port == 80) and ip.dst == 10.0.0.1  // 顯示目標IP為10.0.0.1的HTTP/HTTPS流量

• 分組括號：明（míng）確優先級，避免歧義。例如：

  plaintext(http.request.method == "GET" and http.request.uri contains "/api/") or tcp.flags.syn == 1  // 顯示GET請求或TCP握手包

3. 高級（jí）匹配技巧

• 通配符與範圍（wéi）：
  • 端口範圍：

    plaintext

  tcp.port >= 1000 and tcp.port <= 2000 // 顯示（shì）端口在1000-2000之間的TCP流量（liàng）

  - **IP地址範圍**：```plaintextip.addr >= 192.168.1.1 and ip.addr <= 192.168.1.254  // 顯示局域網（wǎng）內所（suǒ）有IP

• 正則表達式（shì）：匹配複雜模式（如特定URL路徑）。例如：

  plaintexthttp.request.uri matches "^/user/.*"  // 匹配以/user/開頭的URL

• 數據負載過濾：直接匹配數據包內容（需謹慎（shèn）使用，可能影響性能）。例（lì）如：

  plaintextusb.capdata[0:4] == 0x55:0xAA:0x01:0x02  // 匹配USB數據負載前4字節為0x55 0xAA 0x01 0x02

三、優化過濾規則

1. 減少冗（rǒng）餘規則
   • 避免重複條件（jiàn）（如同時過濾tcp.port == 80和http協議，因HTTP默認使用80端（duān）口）。
   • 使用!=排除無關流量。例如：

     plaintexttcp.port != 22  // 排除SSH流量（端（duān）口22）

2. 分層過濾
   • 第一層：粗粒度過濾（如僅捕獲TCP流量）。
   • 第二層：細（xì）粒度過濾（如進一步篩選HTTP POST請求）。
   • 示例：

     plaintexttcp and (http.request.method == "POST" or dns.qry.name contains "example.com")

3. 時（shí）間範圍（wéi）過濾
   • 結合時間戳（chuō）篩選特定時間（jiān）段的數據（jù）。例如：

     plaintextframe.time >= "2025-07-24 10:00:00" and frame.time <= "2025-07-24 10:30:00"

四、驗證與調試過濾規則（zé）

1. 實時預覽
   • 在軟件中啟用“實時過濾”功能，觀察（chá）匹配的數據包是否符合預期（qī）。
   • 檢查“數據（jù）窗口”或“包列表”中的過濾結果，確認無遺漏或誤篩。
2. 分階段測試
   • 步驟1：僅過濾協議類型（如http），確認捕獲到相關流量。
   • 步驟2：添加字（zì）段（duàn）條件（如http.request.method == "GET"），逐步（bù）縮小範圍。
   • 步（bù）驟3：組合邏輯條件（如http and tcp.port == 80），驗證最終效果。
3. 保存常用規則
   • 將頻繁使用的過濾規則（zé）保存為模板（如“HTTP POST請求（qiú）”“USB設（shè）備5通信”），方便後續調用。

五、不同協議分析儀的示例

1. Wireshark（網（wǎng）絡協議分（fèn）析）

• 過濾HTTP POST請求：

  plaintexthttp.request.method == "POST"

• 過濾DNS查詢：

  plaintextdns.qry.name contains "example.com"

2. Ellisys USB Explorer（USB協議分析）

• 過濾特定設備（bèi）地址：

  plaintextusb.device_address == 3

• 過濾控製傳輸：

  plaintextusb.bmRequestType == 0x00  // 主機（jī）到設備的標準（zhǔn）請求

3. Beagle USB 5000（硬件協議分析儀）

• 通過Web界麵過濾：
  1. 登錄設備管理頁麵（如http://192.168.1.100）。
  2. 在“Filter”選項卡中輸入（rù）規則：

     plaintextusb.endpoint_address.direction == 1  // 僅顯示設備到主機的數據（jù）

  3. 點擊“Apply”生效。