ネットワークアナライザーのキャプチャフィルター（tcpdump、Wireshark、Paketyzer）

1.キャプチャフィルター

トラフィックアナライザーは、ネットワーク管理者の生活の中で便利で効果的なツールであり、ネットワーク上で実際に送信されるものを「見る」ことができます。これにより、さまざまな問題の診断や特定のプロトコルおよびテクノロジーの動作原理の研究が簡素化されます
ただし、多くのさまざまなデータブロックがネットワーク上で送信されることが多く、ネットワークインターフェイスを通過するすべてを強制的に表示する場合、本当に必要なものを強調表示することが問題になる可能性があります。
この問題を解決するために、トラフィックアナライザーは、キャプチャフィルターとディスプレイフィルターの2つのタイプに分けられるフィルターを実装しています。 今日は、最初のタイプのフィルター、キャプチャフィルターについて説明します。
キャプチャフィルターは、分析に必要なフレームのみにフレームのキャプチャを制限できるフィルターの一種です。これにより、コンピューターのコンピューティングリソースの負荷を軽減し、トラフィックの分析プロセスを簡素化します。

2.キャプチャフィルターの構文

キャプチャフィルタ式は、いわゆる分類子とオブジェクト識別子（アドレス、ネットワークオブジェクトの名前、ポート番号）から構築される一連の特別なプリミティブで構成されます。

注意 ：すべての分類子は大文字と小文字が区別されるため、小文字でのみ記述する必要があります。

それらについてさらに詳しく見ていきましょう。
分類子には次の種類があります。

• type-オブジェクトタイプ
  
  • host -host（デフォルトのタイプ。タイプが指定されていない場合、これはホストであると想定されます）
  • net-ネットワーク
  • ポート -ポート
  
  

例 ：
ホスト192.168.0.1 -IP 192.168.0.1がアドレス（送信者または受信者）として使用されるトラフィックキャプチャ
net 172.16.0.0/16-アドレス（送信者または受信者）がネットワーク172.16.0.0/16からのIP（より正確には、172.16.0.0から172.16.255.255の範囲内）であるトラフィックキャプチャ。一致するアドレスの検索フィルターです。インターフェイスでどのマスクが設定されているかは関係ありません。mask/ 16による172.16.0.0がネットワーク番号であると混同しないでください。インターフェイスでどのマスクが設定されているかは完全にはわかりません。
ポート80-ポート80（udpまたはtcp）に属するデータがあるトラフィックキャプチャ
10.0.0.1-アドレス（送信者または受信者）がIP 10.0.0.1であるトラフィックキャプチャ。ホスト分類子は指定されていませんが、デフォルトで想定されています。

• dir-オブジェクトに相対的な方向（方向）
  
  • src-オブジェクトは送信者です
  • dst-オブジェクトは受信者です
  
  

例 ：
src host 192.168.0.1 -IPアドレス192.168.0.1が送信者（受信者ではなく）のアドレスとして使用されるトラフィックキャプチャ
dst net 172.16.0.0/16-受信者（送信者ではない）のアドレスがネットワーク172.16.0.0/16からのIPであるトラフィックキャプチャ（より正確には、172.16.0.0から172.16.255.255の範囲内）。

• proto-相互作用プロトコル
  
  • ether-基本的なイーサネットネットワークテクノロジー。通常、フィルターがハードウェアMACアドレスを使用することを示します
  • ip -IPv4プロトコル
  • ip6 -IPv6プロトコル
  • arp -ARPプロトコル
  • tcp -TCPプロトコル
  • udp -UDPプロトコル
  • プロトコルが指定されていない場合、オブジェクトのタイプと互換性のあるすべてのトラフィックをキャプチャする必要があると見なされます
  
  

例 ：
src ether host 00：11：22：33：44：55-00：11：22：33：44：55が送信者のMACアドレスとして使用されるトラフィックキャプチャ。
ip icmp -ICMPパケットをキャプチャします。
tcpポート80 -TCPポート80に属するデータがあるトラフィックキャプチャ

フィルタには、オブジェクト識別子と分類子に加えて、キーワードgateway 、 broadcast 、 multicast 、 less 、 great、および算術式を含めることができます。

例 ：
ip multicast-クラスDからのアドレスを含むipパケットをキャプチャします。
1000未満 -サイズが1000バイト未満のフレームをキャプチャします。

論理演算を使用すると、多数の条件が発生する可能性があります。

• 「そして」-そして（&&）
• または-または（||）
• 「NOT」-not（！）-値の逆

これらの操作の優先順位は次のとおりです。

• 反転操作が最高の優先度を持ちます
• 論理的な「AND」
• 最低の優先順位は操作「OR」です。

通常の数式と同様に、括弧（）を使用して優先順位を変更できます。括弧は最初に実行されるアクションです。

例 ：
net 192.168.0.0/24およびtcpポート21-ネットワーク（範囲）192.168.0.0/24（送信者または受信者）に属するトラフィックをキャプチャし、TCP経由でポート21を使用してデータを送信します。
ホスト192.168.0.1またはホスト192.168.0.221-ホスト192.168.0.1またはホスト192.168.0.221のいずれかに属するトラフィックのキャプチャ（送信者が誰であるか、受信者が誰であるかは関係なく、2つの条件の1つでもこれらの少なくとも1つを作成するにはフレームにアドレスが存在していました）
ホスト192.168.0.1またはホスト192.168.0.2とtcpポート22-ホスト192.168.0.1に属するトラフィック、またはホスト192.168.0.2に属するポート22を使用するTCPプロトコルからのトラフィックをキャプチャします。
（ホスト192.168.0.1またはホスト192.168.0.2）およびtcpポート22 -TCPプロトコルトラフィックをキャプチャし、ホスト192.168.0.1またはホスト192.168.0.2（どちらか、または両方）に属するポート22を使用します。
（ホスト192.168.0.1 ||ホスト192.168.0.1）&& not tcp port 22 -TCPプロトコルトラフィックを除くすべてのトラフィックをキャプチャし、ホスト192.168.0.1またはホスト192.168.0.2（どちらか、または両方）に属するポート22を使用します。

フィルターに複数の同一の繰り返し分類子がある場合、レコードを減らすためにそれらを省略することができます。

例 ：
net 192.168.0.0/24および（tcpポート21またはtcpポート20またはtcpポート25またはtcpポート80またはtcpポート110）
に減らすことができます
ネット192.168.0.0/24および（tcpポート21または20または25または80または110）

注意 ：
アドレスが1.1.1.1および1.1.1.2のパケットを除外する式：
not（ホスト1.1.1.1およびホスト1.1.1.2）
次のように短縮できます。
not（ホスト1.1.1.1および1.1.1.2）
しかし、好きではありません：
ホスト1.1.1.1および1.1.1.2ではありません -この場合、最初のアドレスがなく、2番目のアドレスがあるパケットが表示されます。
そうではない
not（ホスト1.1.1.1または1.1.1.2） -この場合、指定された2つのアドレスの少なくとも1つが存在するパケットは除外されます。

キャプチャフィルターの作成に使用できる基本的なプリミティブのリストを表2-1に示します。

表2-1。 キャプチャフィルターの作成に使用できる基本的なプリミティブのリスト。

原始的	説明
dst host ip_address	宛先IPv4 / IPv6ヘッダーに指定されたホストアドレスが含まれるフレームをキャプチャする
src host ip_address	IPv4 / IPv6ヘッダーのヘッダーの送信者アドレスフィールドに指定されたホストアドレスが含まれるフレームをキャプチャする
ホストip_address	IPv4 / IPv6ヘッダーに指定されたホストアドレスがヘッダーの送信者または受信者アドレスフィールドに含まれているフレームをキャプチャします。 フィルターと同等： ether proto ipおよびホストip_address
エーテルdst mac_address	ノードの指定されたMACアドレスがリンクレイヤーヘッダーの受信者のアドレスフィールドにあるフレームをキャプチャする
ether src mac_address	リンクレイヤーヘッダーの送信者アドレスフィールドで指定されたノードのMACアドレスに含まれるフレームをキャプチャする
エーテルホストmac_address	リンクレイヤーヘッダーの送信者または受信者のアドレスフィールドに指定されたノードのMACアドレスが含まれるフレームをキャプチャします。
dst netネットワーク	IPv4 / IPv6ヘッダーアドレスフィールドに、指定されたクラスネットワークの範囲に属する指定されたアドレスが含まれるフレームをキャプチャする
src netネットワーク	IPv4 / IPv6ヘッダーに、指定されたクラスネットワーク範囲の送信者アドレスフィールドに指定されたアドレスが含まれるフレームをキャプチャする
ネットネットワーク	送信者または受信者フィールドに指定されたネットワークからのアドレスを含むすべてのIPv4 / IPv6パケットを選択します
ネットネットワークマスクマスク	IPv4 / IPv6ヘッダーの指定されたネットワーク範囲の送信者または受信者アドレスフィールドに指定されたアドレスが含まれるフレームをキャプチャする
ネットネットワーク/ mask_length	IPv4 / IPv6ヘッダーの指定されたネットワーク範囲の送信者または受信者アドレスフィールドに指定されたアドレスが含まれるフレームをキャプチャする
dstポートport	UDPまたはTCPヘッダーの宛先ポートに指定のポ​​ート番号が含まれるフレームをキャプチャする
src portポート	UDPまたはTCPヘッダーポートに指定されたポート番号が含まれるフレームをキャプチャする
ポートポート	UDPまたはTCPヘッダーポートに指定されたポート番号が含まれるフレームをキャプチャする
より短い長さ	指定した値以下のフレームをキャプチャします
より長い	サイズが指定値より小さくないフレームをキャプチャします
IPプロトコル	[プロトコル]フィールドに指定されたプロトコルの識別子がIPv4ヘッダーに含まれるフレームをキャプチャします。 この場合、プロトコルの数値だけでなく、標準名（icmp、igmp、igrp、pim、ah、esp、vrrp、udp、tcpなど）も指定できます。 ただし、tcp、udp、およびicmpもキーワードとして使用されるため、これらのシンボリック識別子の前にバックスラッシュ文字（ "\"）を追加する必要があることに注意してください。
ip6 protoプロトコル	[プロトコル]フィールドに指定されたプロトコルの識別子がIPv4ヘッダーに含まれるフレームをキャプチャします。 さらに、プロトコルの数値だけでなく、標準名（icmp6、igmp、igrp、pim、ah、esp、vrrp、udp、tcpなど）も指定できます。 ただし、tcp、udp、およびicmp6もキーワードとして使用されるため、これらのシンボリック識別子がバックスラッシュ文字（ "\"）の前にあることに注意してください。
エーテル放送	すべてのブロードキャストイーサネットフレームをキャプチャします。 Etherキーワードは省略可能
IPブロードキャスト	IPv4パケットヘッダーにブロードキャストアドレスを含むフレームをキャプチャします。 この場合、アドレスがブロードキャストかどうかを判断するために、パケットのキャプチャに使用されるインターフェイスにサブネットマスクが使用されます。 また、制限されたブロードキャストアドレスに送信されたパケットもキャプチャします
エーテルマルチキャスト	すべてのイーサネットマルチキャストフレームをキャプチャします。 Etherキーワードは省略可能
IPマルチキャスト	IPv4パケットヘッダーにマルチキャストアドレスを含むフレームをキャプチャする
ip6マルチキャスト	IPv6パケットヘッダーにマルチキャストアドレスを含むフレームをキャプチャする
エーテルプロトタイプprotocol_type	指定されたプロトコルタイプでイーサネットフレームをキャプチャします。 プロトコルは、番号または名前（ip、ip6、arp、rarp、atalk、aarp、decnet、sca、lat、mopdl、moprc、iso、stp、ipx、netbeui）で指定できます。
ip、ip6、arp、rarp、atalk、aarp、decnet、iso、stp、ipx、netbeui、tcp、udp、icmp	指定されたプロトコルのデータを送信するフレームをキャプチャします。 以下の略記として使用されます。 エーテルプロトプロトコル
vlan [vlan_id]	IEEE 802.1Qに準拠したフレームをキャプチャします。 vlan_idが指定されている場合、指定されたVLANに属するフレームのみがキャプチャされます

3.キャプチャフィルターの高度な例

キャプチャフィルタ内のアドレスとプロトコルの単純な表示に加えて、より微妙なヘッダー分析を可能にするより複雑な構成を使用できます。
これには、次の形式の論理値を返す式が使用されます。

式演算式

式は定数、算術演算（+、-、*、/）または2進ビット演算（＆-「AND」、|-「OR」、<<-左へシフト、>>-右へシフト）の結果になります。演算子はlong offset 、データまたはヘッダーフィールドフィールドです。 記号「>」（もっと）、「<」（より少ない）、「> =」（より等しい）、「<=」（より少ない）、「=」（等しい）、「！=」操作として使用できます（等しくない）。 したがって、特定のフィールドまたはフレームのバイトの必要な値との一致または不一致をチェックし、異なるヘッダーフィールドを互いに比較し、それらに対していくつかの算術および論理演算を実行し、これらの演算の結果を特定の値と比較することができます。
高度なフィルターを使用する最も簡単な例は「 5 = 3 + 1 」で、「 5 」と「 3 + 1 」は式で、「 = 」は演算です。 この文字列を計算した結果、ブール値、この場合はfalseが返されます 。

データまたはフレームヘッダーを取得するには、 proto [ offset ： size ]プリミティブが使用されます。

注 ：この場合の角括弧は構文要素であり、オプションフィールドの記号ではありません。

protoパラメーターには、ヘッダーから特定のデータ（ether、fddi、tr、wlan、ppp、slip、link、ip、arp、rarp、tcp、udp、icmp、ip6など）を選択する必要があるプロトコルの名前が含まれています。
offsetパラメータは、指定されたプロトコルのヘッダーの先頭からのオフセットをバイト単位で示します。バイトの番号は0から始まります。ip[0]はIPパケットの先頭からの最初のバイト、 tcp [1]はTCPセグメントの先頭から2番目のバイト、 ether [3]は4番目のバイトですイーサネットフレームの先頭から。
sizeパラメーターは、 offsetで指定されたバイトから開始して、取得するバイト数を示します。sizeフィールドはオプションです。存在しない場合は、1バイトを取得する必要があると見なされます。ip[2：2]-3番目とIPパケットの先頭から4番目のバイト、 tcp [4]-TCPセグメントの先頭から5番目のバイト、 ether [6-6] -イーサネットフレームの先頭から7番目から12番目のバイト。
offsetフィールドに負の値を設定すると、 protoパラメーターで指定されたプロトコルヘッダーに移動する前のヘッダーのバイトが選択されます。 ただし、同時に、プロトプリミティブで指定されたプロトコルヘッダーがフレームに存在する必要があります。 したがって、フィルターは[11] = 0x37 （イーサネットフレームの12番目のバイトを取得して値0x37と比較します）およびip [-3] = 0x37 （IPヘッダーの前のヘッダーの最後から3番目のバイトを取得して比較します）値が0x37である）は同一ではありません。 最初に、送信者のMACアドレスが37で終わるすべてのフレームがスキップされ、2番目に、IPプロトコルの存在も必要となり、IPプロトコルを含まないフレーム（ARPフレームなど）はキャプチャされません。

例 ：
式ip [1：1]とip [1]は同じ結果になります-IPv4ヘッダーの2番目のバイトが選択されます
tcp [8：2]式は、TCPヘッダーの9番目と10番目のバイト（ソースポートフィールド）を選択します。
式ip [-3] = 0x37は、送信者MACアドレスが「0x37」で終わるすべてのIPv4パケットを選択します。

TCPおよびUDPプロトコルのproto [ offset ： size ]コンストラクトを使用してデータを選択する場合、IPパケットの断片化が考慮されることに注意してください。 その結果、 tcp [0]は常にTCPヘッダーの最初のバイトを意味し、フラグメントチェーンの最初のフラグメントではなく転送するパケットデータの最初のバイトの選択につながることはありません。
一部のプロトコルでは、特定のフィールドとオフセット値は、数字だけでなく名前でも指定できます。 たとえば、ICMPの場合、 icmptypeパラメーターがサポートされており、値icmp-echoreply 、 icmp-unreach 、 icmp-sourcequench 、 icmp-redirect 、 icmp-echo 、 icmp-routeradvert 、 icmp-routersolicit 、 icmp-timxceed 、 icmp-paramprob 、 icmpを 取ることができます -tstamp 、 icmp-tstam-preply 、 icmp-ireq 、 icmp-ireqreply 、 icmp-maskreq 、 icmp-maskreply TCPフラグを分析するには、 tcpflagsパラメーター識別子tcp-fin 、 tcp-syn 、 tcp-rst 、 tcp-push 、 tcp-ackおよびtcp-urgを使用できます。

例 ：
式tcp [tcpflags]＆（tcp-syn | tcp-fin）！= 0は、セッションが開始または終了するTCPセグメントを含むすべてのフレームを選択します。
式i cmp [icmptype]！= Icmp-echoおよびicmp [icmptype]！= Icmp-echoreplyは 、エコー要求およびエコー応答を除く、ICMPプロトコルを含むすべてのフレームを選択します。

特定のバイトのビットの一部のみを分析する必要がある場合があります。 これらの問題を解決するには、ビット演算「AND」（＆）を使用します。 これを使用すると、バイトの特定のビットのみを保存でき、残りはリセットできます。
たとえば、ブロードキャストまたはグループフレームによってチャネルレベルで送信されるフレームのみを選択する必要があります。 MACアドレスの種類は上位バイトで判断できることがわかっています。

住所の種類	16番目のシステムの上位バイト値	2番目のシステムの上位バイト値
指向性\ユニキャスト	00	0000000 0
グループ\マルチキャスト	01	0000000 1
管理者が割り当てた\管理者ID	01	0000001 0
放送\放送	Ff	1111111 1

この情報に基づいて、ブロードキャストアドレスまたはマルチキャストアドレスでは、アドレスの上位バイトの最下位ビットが1で、残りの部分ではゼロであると結論付けることができます。 アドレスの上位バイトを取得し、最下位ビットを除くすべてのビットをリセットし、バイト値が1に等しくなった場合、このアドレスはブロードキャストまたはマルチキャストでした。バイト値がゼロになった場合、このアドレスは指示または管理のいずれかでした与えられた。 その結果、このチェックを実行するには、次の式を使用する必要があります： ether [0]＆1 = 1 、 ether [0] -イーサネットヘッダーの最初のバイトの値を受信、および1-論理「And」ビット操作。 、 " = 1 "-ユニットとの一致の結果を確認します。
もう1つの例をさらに詳しく調べてみましょう。
IPv4ヘッダーのType Of Service（ToS）フィールドの内容を取得する必要があります。 これを行うには、RFC-791を参照すると、このフィールドはシングルバイトフィールドであり、ヘッダーの2番目のバイトであることがわかります。

 3.1。 インターネットヘッダー形式
  インターネットヘッダーの内容の概要は次のとおりです。
     0 1 2 3   
     0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
    |バージョン|  IHL |サービスの種類| 全長|
    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
    | 識別|フラグ| フラグメントオフセット|
    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
    | 生存時間| プロトコル| ヘッダーチェックサム|
    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
    | 送信元アドレス|
    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
    | 宛先アドレス|
    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
    | オプション| パディング|
    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+

値を取得するには、次のプリミティブを使用する必要があります。
ip [1：1] -バイト番号1から始まるIPヘッダーの1バイトを取得します（バイト番号は0から始まります）。
これで、このフィールドの内容に基づいてフィルターを作成できます。
ToSフィールドがゼロであるIPv4ヘッダーを含むすべてのフレームを表示するには、 ip [1：1] = 0を記述する必要があります 。
ToSフィールドがゼロではないIPv4ヘッダーを含むすべてのフレームを表示する場合は、 ip [1：1]！= 0を記述する必要があります 。
しかし、RFC-791によれば、ToSフィールドは複合フィールドであり、次の構造を持っています。

          0 1 2 3 4 5 6 7
       + ----- + ----- + ----- + ----- + ----- + ----- + ----- + ----- +
       |  |  |  |  |  |  |
       | 優先順位|  D |  T |  R |  0 |  0 |
       |  |  |  |  |  |  |
       + ----- + ----- + ----- + ----- + ----- + ----- + ----- + ----- +
      ビット0〜2：優先順位。
      ビット3：0 =通常の遅延、1 =低遅延。
      ビット4：0 =通常のスループット、1 =高スループット。
      ビット5：0 =通常の信頼性、1 =高の信頼性。
      ビット6-7：将来の使用のために予約済み。

最初の3ビットはプリファレンス、4番目は遅延要件、5番目は帯域幅要件、6番目はリンク信頼性要件、7番目と8番目は将来の使用のために予約されています。
新しい標準（RFC1349）に目を向けると、7番目のビットの値は既に定義されています-価格の要件は「コスト」（同等の金額）です。
次に、ネットワーク上にToSフィールドの7番目のビットがIPv4ヘッダーに設定されているフレームがあるかどうかを判断したいとします。 どうやってやるの？ この問題を解決するには、微積分のバイナリシステムを覚えておく（または学ぶ：D）必要があります。 バイトでは、各ビットには独自の重みがあり、1から始まり、毎回2を掛けるたびに右から左に増加します。

          0 1 2 3 4 5 6 7
       + ----- + ----- + ----- + ----- + ----- + ----- + ----- + ----- +
       |  |  |  |  |  |  |
       | 優先順位|  D |  T |  R |  C |  0 |
       |  0 0 0 |  0 |  0 |  0 |  1 |  0 |
       |  |  |  |  |  |  |
       + ----- + ----- + ----- + ----- + ----- + ----- + ----- + ----- +
         128 64 32 16 8 4 2 1

興味のあるビットの重みは2であることがわかります。
ToSフィールドの値を2と比較するとどうなりますか？
ip [1：1] = 2
質問への回答が得られますか？このヘッダーには少し興味がありますか？ 一方で、はい、しかし他方で、いいえ。
たとえば、ToSフィールドに「コスト」ビットに加えて、他のビットが1に設定されている場合、 これが帯域幅の要件を担当するビットであるとしましょう-「スループット」。

          0 1 2 3 4 5 6 7
       + ----- + ----- + ----- + ----- + ----- + ----- + ----- + ----- +
       |  |  |  |  |  |  |
       | 優先順位|  D |  T |  R |  C |  0 |
       |  0 0 0 |  0 |  1 |  0 |  1 |  0 |
       |  |  |  |  |  |  |
       + ----- + ----- + ----- + ----- + ----- + ----- + ----- + ----- +
         128 64 32 16 8 4 2 1

その結果、このバイトの値は2ではなく10になり、単純な比較では、対象のフィールドに特定のビットが設定されているかどうかの質問に答えることができません。
興味のある答えが得られないのはなぜですか？ ビットの単位に設定されている可能性がある他の値によって妨害されています。 したがって、それらを取り除く必要があります。 この問題を解決するために、シンボル「 ＆ 」で示されるビット単位の論理「AND」（論理乗算とも呼ばれます）の操作を使用します。 ご存じのように、論理演算「AND」では、第1オペランドと第2オペランドの両方が1に等しい場合、出力は1つだけになります。 したがって、ToSフィールドの対象ビットの位置にあるビットのみが1に設定される特別なマスクによって、ToSフィールドの値のビットごとの乗算を実行すると、結果から他のすべてのビットが除外されます。

 ToSフィールド：00001010 = 10
マスク：00000010 = 2
結果：00000010 = 2

残りのビットの値に関係なく、このマスクを適用すると、結果は対象フィールドの値のみを取得します。 すべてのビットを1に設定しても、結果には影響しません。

 ToSフィールド：11111111 = 255
マスク：00000010 = 2
結果：00000010 = 2

そして、マスキングの結果として関心のあるビットがゼロである場合にのみ、ゼロも存在します。

 ToSフィールド：11111101 = 253
マスク：00000010 = 1
結果：00000000 = 0

したがって、関心のあるビットが1に等しい場合、マスキングの結果としてこのビットの重みを取得し、ゼロに等しい場合、ゼロを取得します。
これに基づいて、この問題を解決するには、次のフィルターを適用する必要があります。
ip [1：1]＆2 = 2

2番目のバイトの値を取得し、特定のビットの値を「切り取る」マスクを適用して、結果をこのビットの重みと比較します。

IPヘッダーのType Of Serviceフィールドの分析に基づいて別の例を挙げることができます：ToSフィールドのIPv4ヘッダーで優先ビット（優先）がゼロでないすべてのフレームを見る必要があります。 これを行うには、優先順位を担当するビットを選択するマスクを適用します。

 ToSフィールド：10111101 = 189
マスク：11100000 = 224
結果：10100000 = 160

結果はゼロに等しくなく、これは、優先順位フィールドもゼロに等しくないことを示します。

 ToSフィールド：00011111 = 31
マスク：11100000 = 224
結果：00000000 = 0

結果はゼロです。これは、優先順位フィールドもゼロであることを示しています。

その結果、IPv4ヘッダーのToSフィールドのゼロ以外の値を確認すると、次のようになります。
ip [1：1]＆224！= 0
または同じことですが、16進オプションを使用します。
ip [1：1]＆0xe0！= 0

別のプロトコルの例を考えてみましょう。 TCPプロトコルを使用します。
たとえば、オプション付きのTCPセグメントを送信するすべてのフレームをキャプチャする必要があります。 何を探す必要があるのか​​、そしてどこでRFC-793を参照するのかを理解するため。

   TCPヘッダー形式
     0 1 2 3   
     0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
    | 送信元ポート| 宛先ポート|
    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
    | シーケンス番号|
    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
    | 謝辞番号|
    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
    | データ|  | U | A | P | R | S | F |  |
    | オフセット| 予約済み| R | C | S | S | Y | I | ウィンドウ|
    |  |  | G | K | H | T | N | N |  |
    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+

    | チェックサム| 緊急ポインタ|
    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
    | オプション| パディング|
    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
    | データ|
    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+

セグメントにオプションがあるかどうかを判断するために、「データオフセット」フィールドが使用され、4バイトの単語でタイトルの長さが表示されます。 TCPセグメントヘッダーの最小長は20バイトで、5つの4バイトワードです。 したがって、セグメントのTCPヘッダーにオプションがある場合、このフィールドの値は5を超えます。
このフィールドの値を取得するには、 tcpプリミティブ[12：1]を使用する必要があります。 ただし、取ることができる最小ピースが1バイトであり、4ビットしか必要ないという事実を考えると、少し考えなければなりません。
tcpプリミティブ[12：1]を適用すると、次のヘッダー部分が得られました。

    +-+-+-+-+-+-+-+-
    | データ|           
    | オフセット| 予約済み  
    |  |           
    +-+-+-+-+-+-+-+-

「データオフセット」フィールドがバイトの下部にある場合、バイナリ表現の数字「5」は次のようになります。

         128 64 32 16 8 4 2 1
          0 0 0 0 0 1 0 1 = 5

しかし、私たちにとって興味のある部分は、左ではなく、若い部分にあります。したがって、10進数の同等物を得るために、それらをバイトの右側に転送します。

         128 64 32 16 8 4 2 1
           0 1 0 1 0 0 0 0 = 80（16進数で0x50）

最上位ビットを選択するには、マスクする必要があります。

データオフセットフィールド：01010000 = 80
マスク：11110000 = 240
結果：01010000 = 80

ヘッダーにまだオプションがある場合、「データオフセット」の値は5を超えます。たとえば、ヘッダーに1つの8バイトオプションがある場合、このフィールドの値は7（ヘッダーの固定部分の5つの4バイトワードと2つの4バイトオプションワード）になります。

         128 64 32 16 8 4 2 1
          0 0 0 0 0 1 1 1 = 7

対応するビットを上部に転送すると、次のようになります。

         128 64 32 16 8 4 2 1
           0 1 1 1 0 0 0 0 = 112（16進数で0x70）

マスキングによって上位ビットを強調表示します。

データオフセットフィールド：01110000 = 112
マスク：11110000 = 240
結果：01110000 = 112

したがって、結果が80より大きい値である場合、TCPヘッダーにオプションがあることがわかります。 余分なビットはまだ冗長であり、常にゼロである必要があるため、原則としてここにマスクを適用する必要はありませんでしたが、何を変更できるかはわかりません。また、フィルターを書き換えないために、標準が突然変更された場合は、マスクでそれらをカットする方が良いでしょう。
結果のフィルターは、TCPヘッダーの長さが5つの4バイトワードを超えるTCPセグメントを表示し、次のとおりです。
tcp [12：1]＆240！= 80
または
tcp [12：1]＆240> 80
または
tcp [12：1]＆0xf0> 80
また、TCPフラグを使用する可能性についても考えてみましょう。 これらは、マスクを使用して同じ方法で区別できますが、上記で指定したシンボリック分類子を使用することもできます。
たとえば、SYNまたはFINフラグを持つセグメントを含むフレームをキャプチャするには、次のフィルターを記述する必要があります。
tcp [tcpflags]＆（tcp-syn | tcp-fin）！= 0
それは非常に読みやすく、特別な説明は必要ないと思います。
ビットとマスクを使用して同様のタスクを実現すると、次のようなフィルター形式になります。
tcp [13：1]＆2！= 0またはtcp [13：1]＆1！= 0
トピックの理解を統合するために、このフィルターオプションがそれ自体でどのように機能するかを理解してください。

例 ：
式ether [0]＆1！= 0は、すべてのブロードキャストフレームを選択します。
式ether [0]＆1 = 0およびip [16]> = 244は、データリンク層でブロードキャストまたはマルチキャストMACアドレスを使用しないすべてのブロードキャストまたはマルチキャストIPパケットを選択します。
式ip [0]＆0xf = 5は、オプションのないすべてのIPパケットを選択します。
式ip [6：2]＆0x1fff = 0は、すべての断片化されていないIPパケットと、断片化されたパケットの最初のフラグメントを選択します。
式ip [-3]＆0xff = 0x37は、送信者MACアドレスが「0x37」で終わるすべてのIPパケットを選択します。

ビット演算のもう1つの興味深いセットは、ビットシフト演算です。 これらの操作は、シンボル「矢印のペア」で示されます。「<<」-左にシフト、「>>」-右にシフトします。
彼らはどのように機能しますか？
任意のバイトを取り、簡単にするためにユニットを取り、その値をバイナリシステムに書き込みます。

         128 64 32 16 8 4 2 1
           0 0 0 0 0 0 0 1 = 1

次に、左にビットシフト演算を実行し、すべてのビットの値を1ポジションだけシフトし、最小空きビットにゼロを設定します。

         128 64 32 16 8 4 2 1
          0 0 0 0 0 0 1 <<

         128 64 32 16 8 4 2 1
          0 0 0 0 0 0 1 0 = 2

その結果、バイト値は2に等しくなりました。つまり、2倍になりました。 そして再びこの操作を適用します：

         128 64 32 16 8 4 2 1
          0 0 0 0 0 1 0 <<

         128 64 32 16 8 4 2 1
          0 0 0 0 0 1 0 0 = 4

その結果、バイト値は4に等しくなりました。つまり、再び2倍になりました。 したがって、左へのビットシフトの操作は、バイト値に2を乗算することと同等であると結論付けることができます（バイナリシステムで作業しているため）。
より複雑な数、たとえば100でこのルールの有効性を確認しましょう。バイナリ形式で記述します。

         128 64 32 16 8 4 2 1
           0 1 1 0 0 1 0 0 = 100

次に、左シフト操作を実行します。

         128 64 32 16 8 4 2 1
          1 1 0 0 1 0 0 <<

         128 64 32 16 8 4 2 1
          1 1 0 0 1 0 0 0 = 200

その結果、バイト値は200になり、倍になりました。
したがって、右へのビットシフトは、数値を2で除算することと同等であるとすぐに結論付けることができます。
たとえば、番号240：

         128 64 32 16 8 4 2 1
           1 1 1 1 0 0 0 0 = 240

右にシフト操作を実行しましょう：

         128 64 32 16 8 4 2 1
          >> 1 1 1 1 0 0 0

         128 64 32 16 8 4 2 1
          0 1 1 1 1 0 0 0 = 120

バイト値は120に等しくなり、半分に減少しました。
この操作はどのように使用できますか？ IPヘッダーのIHL（インターネットヘッダー長）フィールドは、ヘッダーの長さをバイト単位ではなく4バイトワードで示していることを思い出してください。パケットにオプションが含まれているかどうかを確認するために、次の操作を使用しました。
ip [0]＆0xf = 5
つまり、実際の値ではなく、4に分割された値と比較されました（20バイトは5つの4バイトワードです）。 何らかの理由でヘッダーの長さをバイト単位で処理する方が便利な場合（たとえば、この値をその後パケットの合計長から減算する必要がある場合）、4を掛ける必要があります。4を掛けるには、2倍する必要があります、つまり、ビット左シフト操作を2回実行してから、必要なバイト単位の長いIPヘッダーと比較します。
ip [0] << 2 = 20

そしてもちろん、これらはすべて複合ルールセットに組み合わせることができます。
（icmp [icmptype]！= icmp-echoおよびicmp [icmptype]！= icmp-echoreply）または（udpおよびudpポートではなく67およびip [16] <224）または（tcp [0：2] <1024およびtcp [ 2：2] <1024）
このフィルタを使用すると、プログラムは次の3つの説明のいずれかに適合するフレームのみをキャプチャします。

• echoおよびechoreply（pingユーティリティで使用）を除くICMPメッセージを含む
• UDPデータグラムは、送信者または受信者ポートとしてポート67を使用するものを除き、マルチキャストアドレスおよび制限されたブロードキャストアドレスに送信されるものを除き、送信されます。
• 送信側ポートと受信側ポートの両方が「既知のポート」範囲にあるTCPセグメントを送信します

4.自己検査タスク：D

複雑なキャプチャフィルタを使用して作業を統合するには、このフィルタの説明とその機能を理解してください。
tcpポート80および（ip [2：2]-ip [0]＆0xf << 2-tcp [12]＆0xf0 >> 2！= 0）

注 ：
これは標準的な例の1つであり、必要に応じて、インターネット検索を使用して簡単に自分自身を確認できますが、それでも努力して自分で対処しようとします。

素敵な匂いがする）