Omnipeek空口抓包(3):過濾器的設定和使用
轉載請註明原文地址:https://blog.csdn.net/superhcq/article/details/79886527
過濾器的使用
使用選單欄View
->Filters
開啟過濾器介面,如下圖所示:
系統預設已經建立了一系列過濾器,可以直接在抓包中設定過濾。
建立一個抓包器,設定好網絡卡和通道後,開啟抓包,一段時間後停止抓包。在Packages
介面使用工具欄中的過濾器圖示選擇過濾條件,如下圖所示:
例如:選擇Wireless
->802.11 Beacons
, 生效後就會將802.11 Beacons的包過濾出來。再次點選All Aackages
後顯示全部的資料包。
注意:這種使用過濾器的方法,只能停止抓包後選在過濾。
當我們希望只抓取過濾條件的資料包做分析時,可以在建立抓包器時設定過濾條件,如下圖所示:
在抓包前,勾選過濾條件。開啟抓包後,只顯示過濾後的資料包。
這種方式有個弊端:過濾條件之外的資料包全部無法檢視。當我們想要分析特定資料包時可以通過這種方式,避免All Packages太多,造成分析困難。
在停止抓包後,可以通過根據某一資料包的屬性來過濾出目標報文。操作步驟:
選中資料包-> 右鍵選擇
Selete Related Packages
-> 選在過濾條件(過濾條件中可以通過源地址、目標地址、協議、埠號等方式)-> 選擇結果顯示方式,如下圖所示: 可以直接在當前介面高亮顯示過濾出的包,也可以通過選擇
Copy selected packages to new window
設定過濾條件
在系統過濾器列表中,選中一個過濾器,雙擊開啟,會進入編輯介面,如下圖所示:
手動新增過濾器:
簡單過濾器可以通過地址、協議和埠三種方式配置過濾條件。可以切換到高階設定介面,如下圖所示:
在高階模式下可以對已有的過濾條件進行操作,增加、刪除過濾條件,可以設定過個條件(序列、並行)。這樣更助於資料分析。
可以在Filter
介面插入、刪除等操作。點選Insert
圖示,進入過濾器建立介面。通過簡單模式設定資料包的MAC、埠號、通訊協議來過濾,基本可以達到要求。
根據特定資料包來建立過濾器:
選擇特定資料包,在資料包報文解析中找到作為過濾調節的條目,右鍵選擇Make Filter
空口抓包
正常模式下直接抓取某一通道的資料包,是無法看到明文資料的,只能顯示加密後的資料。當我們需要針對某一問題抓取所有的802.11資料包時,可以簡單將路由器設定成open模式,這樣就可以顯示明文資料了。當然也可以抓取報文後再進行解包,操作起來較複雜。