【网络分析入门】[原创]如何使用Sniffer的过滤器文件
在坛里经常看到许多人对Sniffer的过滤器文件不知道该如何使用,闲来无事,就截了几副图演示一番。首先,我们可以去NG公司的网站去下载Sniffer过滤器(主要是用来检测Vulnerabilites和Virus的),漏洞的过滤器下载网址:[url]http://www.networkgeneral.com/SnifferFilters_Details.aspx?Type=2[/url]
病毒的过滤器下载网址:[url]http://www.networkgeneral.com/SnifferFilters_Details.aspx?Type=1[/url] ,需要说明的是Sniffer的病毒过滤器的名称定义是来自McAfee的定义,与其它防病毒厂商尤其是国内的防病毒厂商的病毒名称定义是有一些差异的。
下载到过滤器,我们就可以把该过滤器导入到Sniffer里去了。
解压开下载到的过滤器文件,你会看到许多文件,我们以Mydoom病毒过滤器文件举例说明:Importing Filter.rtf(导入过滤器说明文件),Sniffer Filter Creation Specification for [email]W32_MyDoom@MM.rtf[/email](说明如何定义Mydoom病毒过滤器),NetAsyst - [email]W32_Mydoom@MM.csf[/email](NetAsyst软件使用--NG公司针对中小型企业定制的软件,功能与Sniffer Pro基本相当,只限10/100M Ethernet和Wireless使用),SnifferDistributed4.* - [email]W32_MyDoom@MM.csf[/email](分布式Sniffer使用,有多个版本:4.1,4.2,4.3,4.5等),还有就是我们需要使用的SnifferPortable4.* - [email]W32_Mydoom@MM.csf[/email](有4.7,4.7.5,4.8等版本,针对你所使用的Sniffer版本号来选择你需要的)。
接着找到Sniffer的安装目录,默认情况下是在:C:\Program Files\NAI\SnifferNT\Program,找到该目录下的“Nxsample.csf”文件,将它改名成Nxsample.csf.bak(主要是为了备份,否则可以删除),然后将我们所需要的过滤器文件SnifferPortable4.7.5 - [email]W32_Mydoom@MM.csf[/email]文件拷贝到该目录,并将它改名为“Nxsample.csf”。
然后,我们再打开Sniffer Pro软件,定义过滤器(Capture--Define Filter),选择Profile--New--在New Profile Name里填入相应的标识,如W32/Mydoom--选择Copy Sample Profile--选择W32/Mydoom@MM,确定后,我们就算做好了Mydoom这个病毒的过滤器。
现在,我们就可以在过滤器选择里选择Mydoom过滤器对Mydoom病毒进行检测了。
[[i] Last edited by usertest on 2005-5-8 at 15:47 [/i]] 这个方法来监控病毒的传播是终端网络防病毒的一个补充,有个问题是:只能检测出病毒并不能进行查杀,还存在漏报的问题。没有这样使用过,可以试一试效果怎么样!! 鼓励原创!
相信很多人会受益 好贴啊!希望楼主多些这方面的原创,受益的人一定不少! 不错,我成功了,还有引出也是很好用的
谢谢楼主.我解决了全部FILTER的添加
非常感谢. 谢谢!好东西!! 非常感谢,学会了! 哪位大大发些bt或者emule的过滤器来看看啊
或者最近比较流行病毒的过滤器 我们去实践实践啊 说真的,对于我这种菜鸟来说,使用SNIFFER真的有点难度啊,只能好好慢慢学习了,希望各位帮助了 正在学习中,知识有涨了一 点,谢谢 是不是只能定义一个病毒,换过滤器的话,是不是还要按照上面的方法操作?
换过之后,原先的就没有了? 学习!!!!!!!!
应该是高级功能 这段时间准备仔细学习一下SNIFFER 谢谢楼主啊! sniffer 4.8的filter导入就要方便很多了。 经典,收藏了! 终于明白了 非常感谢 SNIFFER网站适合 pro的 filter好少噢 谁能提供点啊 最好是针对BT P2P类的 下了学习 这里的人气真高!
页:
[1]