● NetXray使用说明之(8)----捕捉来自特定源IP的A - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: hellsolaris (qq), 信区: Security
标  题: NetXray使用说明之(8)----捕捉来自特定源IP的A
发信站: 荔园晨风BBS站 (Sun Oct 26 13:09:17 2003), 站内信件

发信人: scz (小四), 信区: Security WWW-POST
标  题: NetXray使用说明之(8)----捕捉来自特定源IP的A
发信站: 武汉白云黄鹤站 (Tue Dec 19 13:52:11 2000) , 站内信件

NetXray使用说明之(8)----捕捉来自特定源IP的ARP报文

今天调试一个程序的时候，由于需要利用SIGALRM进行ARP欺骗，需要抓几个ARP响应
报文确认定时机制起作用了，但又不想都抓，ARP报文太多了。

1. 以default为模板复制一条规则arp

2. 在"高级过滤"里选中ARP协议

3. 在"数据模板"里选择"增加模板"，此时默认是AND规则

4. 依次输入或选择

   Packet 28 4 Hex

5. 从顶头开始输入

   C0 A8 0A 19

   就是说源IP为192.168.10.25

   描述性文字任意，比如srcIp == 192.168.10.25

6. 一路确定下去即可

事实上平时设置过滤规则不需要这样麻烦，可以先用母体规则(比如default)抓取一
些报文，然后用鼠标选中你需要的报文，保持不动的情况下进入过滤规则设置界面，
新建一个过滤规则arp，此时"数据模板"里的"设置数据"按钮可用，在左面选择你感
兴趣的数据域，点击"设置数据"，会自动替你生成一个"数据模板"，然后根据需要稍
微修改一下即可。即使你对TCP/IP协议非常熟悉，也没有必要自己计算偏移量。
<<NetXray使用说明之(2)>>里的"数据模板"一样推荐采用这个办法指定。

--

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.223]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店