設(shè)置協(xié)議分析儀的過濾器是高效捕獲和分析目標(biāo)網(wǎng)絡(luò)流量的關(guān)鍵步驟，需結(jié)合協(xié)議類型、字段匹配、邏輯組合等技巧。以下是詳細的設(shè)置方法及優(yōu)化建議：

一、過濾器設(shè)置基礎(chǔ)步驟

1. 選擇過濾模式
   • 捕獲前過濾：在開始捕獲前設(shè)置規(guī)則，減少無關(guān)數(shù)據(jù)存儲，提升效率。
   • 捕獲后過濾：先捕獲全部流量，再通過過濾規(guī)則篩選關(guān)鍵數(shù)據(jù)，適合不確定目標(biāo)特征時使用。
2. 進入過濾配置界面
   • 打開協(xié)議分析儀軟件（如Wireshark、Ellisys USB Explorer、Beagle USB 5000等），找到“Filter”或“Capture Filter”選項卡。
   • 部分設(shè)備（如硬件協(xié)議分析儀）可能通過物理按鈕或Web界面配置過濾規(guī)則。
3. 選擇協(xié)議類型
   • 從協(xié)議列表中選擇目標(biāo)協(xié)議（如HTTP、TCP、USB、I2C等）。例如：
     • HTTP過濾：分析網(wǎng)頁請求時，選擇HTTP協(xié)議。
     • USB過濾：分析設(shè)備通信時，選擇USB協(xié)議并指定設(shè)備地址或端點。

二、構(gòu)建過濾條件

1. 基礎(chǔ)字段過濾

• 源/目的地址過濾：

  plaintextip.src == 192.168.1.100  // 僅顯示源IP為192.168.1.100的數(shù)據(jù)包tcp.dstport == 80        // 僅顯示目標(biāo)端口為80（HTTP）的TCP流量

• 協(xié)議特定字段過濾：
  • HTTP請求方法：

    plaintexthttp.request.method == "POST"  // 僅顯示HTTP POST請求

  • USB設(shè)備地址：

    plaintextusb.device_address == 5  // 僅顯示設(shè)備地址為5的USB通信

2. 組合邏輯過濾

• 邏輯運算符：使用and、or、not組合條件。例如：

  plaintext(tcp.port == 443 or tcp.port == 80) and ip.dst == 10.0.0.1  // 顯示目標(biāo)IP為10.0.0.1的HTTP/HTTPS流量

• 分組括號：明確優(yōu)先級，避免歧義。例如：

  plaintext(http.request.method == "GET" and http.request.uri contains "/api/") or tcp.flags.syn == 1  // 顯示GET請求或TCP握手包

3. 高級匹配技巧

• 通配符與范圍：
  • 端口范圍：

    plaintext

  tcp.port >= 1000 and tcp.port <= 2000 // 顯示端口在1000-2000之間的TCP流量

  - **IP地址范圍**：```plaintextip.addr >= 192.168.1.1 and ip.addr <= 192.168.1.254  // 顯示局域網(wǎng)內(nèi)所有IP

• 正則表達式：匹配復(fù)雜模式（如特定URL路徑）。例如：

  plaintexthttp.request.uri matches "^/user/.*"  // 匹配以/user/開頭的URL

• 數(shù)據(jù)負載過濾：直接匹配數(shù)據(jù)包內(nèi)容（需謹慎使用，可能影響性能）。例如：

  plaintextusb.capdata[0:4] == 0x55:0xAA:0x01:0x02  // 匹配USB數(shù)據(jù)負載前4字節(jié)為0x55 0xAA 0x01 0x02

三、優(yōu)化過濾規(guī)則

1. 減少冗余規(guī)則
   • 避免重復(fù)條件（如同時過濾tcp.port == 80和http協(xié)議，因HTTP默認使用80端口）。
   • 使用!=排除無關(guān)流量。例如：

     plaintexttcp.port != 22  // 排除SSH流量（端口22）

2. 分層過濾
   • 第一層：粗粒度過濾（如僅捕獲TCP流量）。
   • 第二層：細粒度過濾（如進一步篩選HTTP POST請求）。
   • 示例：

     plaintexttcp and (http.request.method == "POST" or dns.qry.name contains "example.com")

3. 時間范圍過濾
   • 結(jié)合時間戳篩選特定時間段的數(shù)據(jù)。例如：

     plaintextframe.time >= "2025-07-24 10:00:00" and frame.time <= "2025-07-24 10:30:00"

四、驗證與調(diào)試過濾規(guī)則

1. 實時預(yù)覽
   • 在軟件中啟用“實時過濾”功能，觀察匹配的數(shù)據(jù)包是否符合預(yù)期。
   • 檢查“數(shù)據(jù)窗口”或“包列表”中的過濾結(jié)果，確認無遺漏或誤篩。
2. 分階段測試
   • 步驟1：僅過濾協(xié)議類型（如http），確認捕獲到相關(guān)流量。
   • 步驟2：添加字段條件（如http.request.method == "GET"），逐步縮小范圍。
   • 步驟3：組合邏輯條件（如http and tcp.port == 80），驗證最終效果。
3. 保存常用規(guī)則
   • 將頻繁使用的過濾規(guī)則保存為模板（如“HTTP POST請求”“USB設(shè)備5通信”），方便后續(xù)調(diào)用。

五、不同協(xié)議分析儀的示例

1. Wireshark（網(wǎng)絡(luò)協(xié)議分析）

• 過濾HTTP POST請求：

  plaintexthttp.request.method == "POST"

• 過濾DNS查詢：

  plaintextdns.qry.name contains "example.com"

2. Ellisys USB Explorer（USB協(xié)議分析）

• 過濾特定設(shè)備地址：

  plaintextusb.device_address == 3

• 過濾控制傳輸：

  plaintextusb.bmRequestType == 0x00  // 主機到設(shè)備的標(biāo)準(zhǔn)請求

3. Beagle USB 5000（硬件協(xié)議分析儀）

• 通過Web界面過濾：
  1. 登錄設(shè)備管理頁面（如http://192.168.1.100）。
  2. 在“Filter”選項卡中輸入規(guī)則：

     plaintextusb.endpoint_address.direction == 1  // 僅顯示設(shè)備到主機的數(shù)據(jù)

  3. 點擊“Apply”生效。