如（rú）何設置協議分析儀的過濾器？

設置協議分析儀的過濾器是高（gāo）效捕獲和分析目標網絡流量的關鍵步驟，需結（jié）合協（xié）議類型、字段匹配、邏輯組（zǔ）合等技巧。以下是詳細的（de）設置方法及優化建議：

一、過濾器（qì）設置（zhì）基礎步驟

1. 選擇過濾模式
   • 捕獲前過濾：在（zài）開始捕獲前設置規則，減少無關數據存儲（chǔ），提升效率。
   • 捕獲後過濾：先捕獲全部流量，再通過（guò）過濾規則篩選關鍵數據，適合不確定目標特征時使用。
2. 進入過濾（lǜ）配置界麵
   • 打開協議分析儀軟件（如Wireshark、Ellisys USB Explorer、Beagle USB 5000等），找（zhǎo）到“Filter”或“Capture Filter”選項卡。
   • 部分設備（如硬件協議分析儀）可能通過（guò）物理按鈕或Web界（jiè）麵配置過濾規則。
3. 選擇協議類型
   • 從協議（yì）列表中選擇目標協議（如HTTP、TCP、USB、I2C等）。例如：
     • HTTP過濾：分析網頁（yè）請求時，選擇HTTP協（xié）議。
     • USB過濾：分析設備通信時，選擇USB協議並指定設備地址或端（duān）點。

二、構建過濾條件

1. 基礎字段（duàn）過濾

• 源/目的地址過（guò）濾：

  plaintextip.src == 192.168.1.100  // 僅顯示源IP為192.168.1.100的數據包（bāo）tcp.dstport == 80        // 僅顯示目標（biāo）端口為80（HTTP）的TCP流量

• 協議特定字段過濾：
  • HTTP請求方法：

    plaintexthttp.request.method == "POST"  // 僅（jǐn）顯示HTTP POST請求

  • USB設備地址（zhǐ）：

    plaintextusb.device_address == 5  // 僅（jǐn）顯示設備地址為5的USB通信

2. 組合邏輯過（guò）濾

• 邏輯運算符：使用and、or、not組合條件。例如：

  plaintext(tcp.port == 443 or tcp.port == 80) and ip.dst == 10.0.0.1  // 顯示（shì）目標IP為10.0.0.1的HTTP/HTTPS流量

• 分組括號：明確優先級，避免（miǎn）歧義。例（lì）如：

  plaintext(http.request.method == "GET" and http.request.uri contains "/api/") or tcp.flags.syn == 1  // 顯示GET請求或TCP握手包

3. 高級匹配（pèi）技巧

• 通配符與範圍：
  • 端口範圍：

    plaintext

  tcp.port >= 1000 and tcp.port <= 2000 // 顯示端口在1000-2000之間的TCP流量

  - **IP地址範圍**：```plaintextip.addr >= 192.168.1.1 and ip.addr <= 192.168.1.254  // 顯示局域網內所有IP

• 正則表達式：匹配複（fù）雜模式（如特（tè）定URL路徑）。例如：

  plaintexthttp.request.uri matches "^/user/.*"  // 匹配以/user/開頭的URL

• 數據負載過濾：直接匹配數據包內容（需謹慎（shèn）使用，可能影響性能）。例如：

  plaintextusb.capdata[0:4] == 0x55:0xAA:0x01:0x02  // 匹配USB數據負載前4字節為0x55 0xAA 0x01 0x02

三、優（yōu）化過濾規則

1. 減少冗餘規則
   • 避免重複條件（如同時過濾tcp.port == 80和http協（xié）議，因HTTP默認使用80端口）。
   • 使用!=排除無（wú）關流量。例如：

     plaintexttcp.port != 22  // 排除SSH流量（端口22）

2. 分層過濾
   • 第一層：粗（cū）粒度過濾（lǜ）（如（rú）僅捕獲TCP流量）。
   • 第（dì）二層：細（xì）粒度過濾（如進一步篩選HTTP POST請求（qiú））。
   • 示例：

     plaintexttcp and (http.request.method == "POST" or dns.qry.name contains "example.com")

3. 時間範圍過濾
   • 結合時間戳篩選特定時間段的數據（jù）。例如：

     plaintextframe.time >= "2025-07-24 10:00:00" and frame.time <= "2025-07-24 10:30:00"

四、驗證與調試過濾規則

1. 實時預覽
   • 在軟件中啟用“實時過濾”功能，觀察匹配的數據包是否符合預期。
   • 檢查（chá）“數據窗口”或“包列表”中的過濾結果，確認無遺漏或誤篩。
2. 分階（jiē）段測試
   • 步驟1：僅過濾協議類型（如http），確認捕獲（huò）到相關流（liú）量。
   • 步驟2：添加字段（duàn）條件（如http.request.method == "GET"），逐（zhú）步縮（suō）小範圍。
   • 步驟3：組合邏輯條件（如http and tcp.port == 80），驗證最終效果。
3. 保存常用（yòng）規則
   • 將頻繁使用的過濾規則保存為模板（如“HTTP POST請求”“USB設備5通信（xìn）”），方便後續（xù）調用。

五、不同協議分析儀的示例

1. Wireshark（網絡協議分析）

• 過（guò）濾HTTP POST請求：

  plaintexthttp.request.method == "POST"

• 過濾DNS查詢：

  plaintextdns.qry.name contains "example.com"

2. Ellisys USB Explorer（USB協議分析）

• 過濾特定設備地址：

  plaintextusb.device_address == 3

• 過濾控（kòng）製傳輸：

  plaintextusb.bmRequestType == 0x00  // 主機到設備的標準請求

3. Beagle USB 5000（硬件協議分析儀）

• 通過Web界麵過濾：
  1. 登錄設備管理頁麵（miàn）（如http://192.168.1.100）。
  2. 在“Filter”選項卡中（zhōng）輸入規則：

     plaintextusb.endpoint_address.direction == 1  // 僅顯示設備到主機的數據

  3. 點擊“Apply”生效。