協(xié)議分析儀支持哪些自定義規(guī)則設(shè)置?
2025-07-28 15:25:38
點(diǎn)擊:
協(xié)議分析儀支持多種自定義規(guī)則設(shè)置���,涵蓋過(guò)濾、捕獲�����、觸發(fā)�����、解碼、分析���、存儲(chǔ)與導(dǎo)出等多個(gè)維度����,能夠滿(mǎn)足復(fù)雜網(wǎng)絡(luò)環(huán)境下的精準(zhǔn)監(jiān)測(cè)需求�����。以下是具體規(guī)則類(lèi)型及設(shè)置方式:
一�����、過(guò)濾規(guī)則:精準(zhǔn)篩選目標(biāo)流量
- 基礎(chǔ)字段過(guò)濾
- IP/端口過(guò)濾:通過(guò)源/目的IP�����、端口號(hào)縮小范圍��。例如:
- ip.src == 192.168.1.100(僅顯示源IP為該地址的數(shù)據(jù)包)
- tcp.port == 80(僅顯示HTTP流量)
- 協(xié)議類(lèi)型過(guò)濾:直接篩選特定協(xié)議��,如http���、icmp���、dns等�。
- 邏輯組合:使用and���、or����、not組合條件��,例如:
- (ip.src == 192.168.1.1 and tcp.port == 80) or (ip.dst == 192.168.1.2 and udp.port == 53)
- !(ip.addr == 10.0.0.5)(排除所有涉及10.0.0.5的數(shù)據(jù)包)
- 高級(jí)字段過(guò)濾
- 協(xié)議特定字段:針對(duì)協(xié)議深層字段篩選����,例如:
- http.request.method == "GET"(僅顯示HTTP GET請(qǐng)求)
- dns.qry.name contains "example.com"(篩選包含特定域名的DNS查詢(xún))
- tcp.flags.syn == 1(僅顯示TCP SYN握手包)
- 正則表達(dá)式匹配:支持對(duì)文本字段進(jìn)行模式匹配,例如:
- http.request.uri matches "^/api/.*"(匹配所有以/api/開(kāi)頭的HTTP請(qǐng)求路徑)
- data contains "48656c6c6f"(十六進(jìn)制過(guò)濾��,匹配數(shù)據(jù)中包含"Hello"的ASCII編碼)
- 時(shí)間與長(zhǎng)度過(guò)濾
- 時(shí)間范圍:結(jié)合時(shí)間戳篩選特定時(shí)間段的數(shù)據(jù)��,例如:
- frame.time >= "2025-07-17 10:00:00" and frame.time <= "2025-07-17 10:30:00"
- 數(shù)據(jù)包長(zhǎng)度:根據(jù)幀長(zhǎng)度或協(xié)議負(fù)載大小篩選�,例如:
- frame.len > 1000(顯示長(zhǎng)度超過(guò)1000字節(jié)的數(shù)據(jù)包)
- tcp.len == 0(篩選TCP零窗口通告包�,分析網(wǎng)絡(luò)擁塞)
二、捕獲規(guī)則:優(yōu)化數(shù)據(jù)采集效率
- 鏈路層過(guò)濾
- 以太網(wǎng)幀過(guò)濾:基于MAC地址或幀類(lèi)型捕獲���,例如:
- ether src 00:11:22:33:44:55(捕獲源MAC地址為該值的幀)
- ether dst ff:ff:ff:ff:ff:ff and arp(捕獲廣播地址的ARP請(qǐng)求)
- USB過(guò)濾:針對(duì)USB設(shè)備地址�、傳輸類(lèi)型或端點(diǎn)號(hào)過(guò)濾,例如:
- usb.device_address == 3 and usb.transfer_type == 0x01(捕獲設(shè)備地址3的控制傳輸)
- 協(xié)議層過(guò)濾
- IP協(xié)議過(guò)濾:捕獲特定IP包���,例如:
- ip.src == 192.168.1.100 and icmp(捕獲源IP為192.168.1.100的ICMP包)
- HTTP協(xié)議過(guò)濾:捕獲特定HTTP請(qǐng)求��,例如:
- http.request.method == "GET" and http.request.uri contains "/api/data"
- 專(zhuān)用協(xié)議過(guò)濾
- BLE協(xié)議:捕獲特定設(shè)備地址或廣告包��,例如:
- ble.advertising_address == 00:1a:7d:da:71:13(捕獲指定BLE設(shè)備的廣告包)
- Zigbee協(xié)議:過(guò)濾特定設(shè)備地址或功能簇����,例如:
- Source Address: 0x1234, Cluster ID: 0x0006(捕獲設(shè)備0x1234的開(kāi)關(guān)控制命令)
三��、觸發(fā)規(guī)則:實(shí)時(shí)響應(yīng)關(guān)鍵事件
- 邊沿/電平觸發(fā)
- 邊沿觸發(fā):捕獲信號(hào)上升沿或下降沿�����,例如I2C的SCL上升沿�����。
- 電平觸發(fā):監(jiān)測(cè)信號(hào)達(dá)到特定電壓閾值����,例如USB的VBUS>4.5V。
- 協(xié)議字段觸發(fā)
- 基于協(xié)議包頭或特定字段觸發(fā)�,例如:
- USB的PID字段為DATA0(捕獲USB數(shù)據(jù)包)
- PCIe的TLP包類(lèi)型為Memory Read Request
- 多級(jí)觸發(fā)
- 設(shè)置主觸發(fā)和次觸發(fā)��,例如:
- 主觸發(fā):I2C > Start Condition(捕獲I2C起始條件)
- 次觸發(fā):I2C > Address = 0x50(捕獲設(shè)備地址為0x50的I2C通信)
- 觸發(fā)模式:設(shè)置為AND(需同時(shí)滿(mǎn)足條件)��。
- 序列觸發(fā)
- 捕獲按特定順序發(fā)生的事件����,例如:
- PCIe的Memory Read Request后跟隨Completion(觸發(fā)條件設(shè)置為Sequence > TLP1 = MRd, TLP2 = CplD)�。
四、解碼與分析規(guī)則:深度解析協(xié)議行為
- 自定義協(xié)議解碼
- 對(duì)私有協(xié)議(如自定義傳感器通信)定義幀結(jié)構(gòu)���,包括起始位����、數(shù)據(jù)位�����、校驗(yàn)位等����。
- 錯(cuò)誤標(biāo)記與統(tǒng)計(jì)
- 啟用協(xié)議錯(cuò)誤檢測(cè)(如CRC校驗(yàn)失敗、幀長(zhǎng)度錯(cuò)誤)�����,并在波形上標(biāo)記錯(cuò)誤位置����。例如:
- USB 3.2數(shù)據(jù)包若CRC5校驗(yàn)失敗,分析儀會(huì)在包尾顯示紅色錯(cuò)誤標(biāo)志�����。
- 多協(xié)議關(guān)聯(lián)分析
- 同步顯示不同協(xié)議的時(shí)間關(guān)系�����,例如USB事務(wù)與I2C配置命令的時(shí)序�。
五、存儲(chǔ)與導(dǎo)出規(guī)則:靈活管理數(shù)據(jù)
- 分段存儲(chǔ)
- 將存儲(chǔ)空間劃分為多個(gè)段(如每段1MB)�����,按觸發(fā)事件循環(huán)覆蓋����,避免單次事件占用全部存儲(chǔ)。
- 配置:在分析儀菜單中選擇Storage > Segmented���,設(shè)置段數(shù)(如1024段)和段大?���。ㄈ?MB)。
- 自動(dòng)報(bào)告生成
- 生成包含協(xié)議統(tǒng)計(jì)信息(如包數(shù)量�、錯(cuò)誤率、吞吐量)的PDF報(bào)告���。例如:
- Teledyne LeCroy Advisor T3的Report Generator功能可自動(dòng)生成USB協(xié)議性能報(bào)告�����,包含帶寬利用率�����、事務(wù)延遲等關(guān)鍵指標(biāo)���。
- 數(shù)據(jù)導(dǎo)出格式
- 支持導(dǎo)出為CSV、TXT��、MAT(MATLAB)等格式�,便于后續(xù)分析。
