 |
 |
 |
 |
 |
 |
 |
| CommView for WiFi Help Documentation |
|
| |
|
||||||||||
|
|
 |
Regeln für Fortgeschrittene sind die mächtigsten und flexibelsten Regeln, die es Ihnen ermöglichen komplexe Filter basierend auf Boolescher Logik zu implementieren Um diese zu nutzen brauchen Sie grundlegende Kenntnisse in Mathematik und Logik, aber die Syntax ist leichtverständlich. 
Übersicht Um eine neue Regel hinzuzufügen müssen Sie einen beliebigen Namen im Feld Name eingeben, wählen Sie dann die Aktion ( (Empfangen/Ignorieren), geben Sie dann eine Formel nach u. g. Syntax ein und klicken Sie anschließend Hinzufügen/Editieren. Die neue Regel wird hinzugefügt und ist augenblicklich aktiv. Sie können beliebig viele Regeln hinzufügen, aktiv sind jedoch nur die, die eine angekreuzte Box neben ihrem Namen haben. Die Regeln können aktiviert/deaktiviert werden, in dem die entsprechenden Boxen daneben angekreuzt/nicht angekreuzt werden, zum endgültigen Löschen von Regeln verwenden Sie den Löschen Button. Wenn mehrere Regeln aktiv sind, können Sie das Ergebnis abschätzen, indem Sie Evaluieren anklicken. Mehrere aktive Regeln werden über den Logischen ODER Operator gekoppelt, wenn Sie also drei aktive Regeln haben, nennen wir sie REGEL1, REGEL2, REGEL3, ist das Ergebnis gültig, sobald mindestens eine der drei Regeln gültig ist. Sie können die Fortgeschrittenenregeln zusammen mit den Basisregeln (siehe vorheriges Kapitel) verwenden. Wenn Sie sich mit Boolescher Logik auskennen, sollten Sie nur die Fortgeschrittenenregeln verwenden, da diese mehr Flexibilität bieten. Die Grundregeln werden über einen logischen UND Operator mit den Fortgeschrittenenregeln verknüpft. Syntax Beschreibung dir – packet direction (Paketausrichtung). Mögliche Werte sind in (inbound), out (outbound), und pass (pass-through). Dieses Schlüsselwort dient der Kompatibilität mit der Standardedition (non-wireless) von CommView . In CommView for WiFi gibt es keine inbound oder outbound Pakete, da Ihr Adapter nicht am Datenaustausch teilnimmt und nur passiv die durchgehenden Pakete überwacht. etherproto – Ethernet Protokol, das 13. Und 14. Byte des Paketes. Erlaubte Werte sind Zahlen (wie etherproto=0x0800 für IP) oder allgemeine Aliase (wie etherproto=ARPm was das Equivalent zu 0x0806 ist). ipproto – IP Protokoll. Erlaubt sind Zahlen (wie ipproto!=0x06 für TCP) oder allgemeine Aliase (wie ipproto=UDP, was das Equivalent zu 0x11 ist). smac – Source MAC Adresse. Erlaubt sind hier MAC Adressen in Hexnotation (wie smac=00:00:21:0A:13:0F) oder benutzerdefinierte Aliase. dmac – Destination MAC address (Ziel MAC Adresse). sip – Source IP Adresse. Erlaubt sind IP Adressen in Punktnotation (wie sip=192.168.0.1), IP Adressen mit Wildcards (wie sip!=*.*.*.255), Netzwerkadressen mit Subnet-Masken (wie sip=192.168.0.4/255.255.255.240 oder sip=192.168.0.5/28), IP Bereiche (wie sip from 192.168.0.15 to 192.168.0.18 oder sip in 192.168.0.15 .. 192.168.0.18 ), oder benutzerdefinierte Aliase. dip – Destination IP address (Ziel IP Adresse). sport – Source Port für TCP und UDP Pakete. Erlaubt sind Zahlen (wie sport=80 für HTTP), Bereiche (wie sport von 20 bis 50 oder sport in 20..50 für alle Portnummer zwischen 20 und 50) oder die vom Betriebssystem definierten Aliase (wie sport=ftp, was das Equivalent zu 21 ist). Um die Liste aller Betriebssystemaliase zu erhalten klicken Sie bitte auf Ansicht => Port Referenz. dport – Destination (Ziel) Port für TCP und UDP Pakete. flag – TCP flag. Erlaubt sind Zahlen (wie 0x18 für PSH ACK) oder ein bzw. mehrere der folgenden Zeichen: F (FIN), S (SYN), R (RST), P (PSH), A (ACK), und U (URG), oder das has (ist) Schlüsselwort, dies bedeutet, daß das Flag einen bestimmten Wert enthält. Beispiele: flag=0x18, flag=SA, flag has F. size – packet size (Paketgröße). Erlaubt sind Zahlen (wie size=1514) oder Bereiche (wie size from 64 to 84 oder size in 64..84 für jede Größe zwischen 64 und 84). str – Paketinhalt. Wählen Sie dies, wenn das Paket einen bestimmten String enthalten muß. Es gibt drei Argumente: string, Position, und case sensitivity (Groß-/Kleinschreibung beachten). Das erste Argument ist ein String, wie 'GET'. Das zweite Argument ist eine Zahl, die den Stringposition (offset) im Paket festlegt. Das Offset ist Nullbasierend, d. h. wenn Sie das erste Byte des Paketes suchen, muß der Offsetwert 0 sein. Wenn das Offset ohne Bedeutung ist, wählen sie –1. Das dritte Argument legt die Bedeutung der Groß-/Kleinschreibung fest. Es ist entweder false (case-insensitive) oder true (case-sensitive). Das zweite und dritte Argument sind optional. Wenn hier nichts eingetragen wird ist der Standardwert–1 und die case-sensitivity Einstellung ist false. Beispiele: str('GET',-1,false), str('GET',-1), str ('GET'). hex – Paketinhalt. Diese Funktion verwenden Sie, wenn das Paket bestimte Hexadezimalwerte enthalten muß. Diese Funktion hat zwei Argumente: Hexmuster und Position. Das erste Argument ist ein Hexwert, wie 0x4500. Das zweite Argument ist eine Zahl, die die Musterposition (Offset) im Paket definiert. . Das Offset ist Nullbasierend, d. h. wenn Sie das erste Byte des Paketes suchen, muß der Offsetwert 0 sein. Wenn das Offset ohne Bedeutung ist, wählen sie –1. Das zweite Argument ist optional, wenn es weggelassen wird, ist die Standardeinstellung –1. Beispiele: hex(0x04500, 14) , hex(0x4500, 0x0E), hex (0x010101). bit - Paketinhalt. Mit dieser Funktion ermitteln Sie, ob ein bestimmtes Bit eines definierten Offsets auf 1 gesetzt ist, so dass die Funktion true ausgibt. Sollte das definierte Bit 0 sein oder außerhalb der Paketgrenzen liegen, so ergibt die Funktion false. Diese Funktion hat zwei Argumente: Bitindex und Byte position. Das erste Argument ist der Bitindex im Byte. Die erlaubten Werte sind heir im Bereich 0-7. Der Index ist Nullbasierend, d. h. wenn Sie das 8. Bit suchen ist der Indexwert 7. Das zweite Argument ist die Zahl, die die Byteposition (Offset) im Paket definiert, auch dies ist Nullbasierend, d. h. das das 1. Bit hat den Wert 0. Beide Argumente sind zwingend notwendig. Beispiele: bit(0, 14) , bit(5, 1). ToDS, FromDS, MoreFrag, Retry, Power, MoreData, WEP, Order, Ftype, FsubType, Duration, FragNum, SeqNum – zur Verwendung der 802.11 Paket Headerfelder innerhalb der Fortgeschrittenregeln. Die Operatorennamen passen zu den in den 802.11 Standards festgelegten Paketheaderfeldern. Die erlaubten Werte für ToDS, FromDS, MoreFrag, Retry, Power, MoreData, WEP und Order sind 0 oder 1. Für Ftype, FsubType, Duration, FragNum, und SeqNum Operatoren sind auch andere numerische Werte gültig. In den 802.11 Standards finden Sie detailierte Informationen zu den 802.11 Paket Headerfeldern und den von ihnen akzeptierten Werten. Die oben genannten Schlüsselwörter können mit den folgenden Operatoren verwendet werden: and – Boolesche Verknüpfung or - Boolesche Unterscheidung. not – Boolesche Verneinung. = - gleich. != - ungleich. <> - siehe oben. > - größer als. < - kleiner als. ( ) – Klammer, bestimmt die Reihenfolge der Operatoren. Zahlen entweder in Dezimal- oder Hexadezimalschreibweise. In der Hexnotation muß 0x vor jeder Zahl stehen, z. B. 15 oder 0x0F. Beispiele Folgende Beispiele zeigen die Regelsyntax. Jede Regel hat einen Kommentar, der sagt, was die Regel macht. Die Regeln sind rot, die Kommentare folgen nach zwei Schrägstrichen..
|
