協(xié)議分析儀支持哪些自定義規(guī)則設置？

協(xié)議分析儀支持多種自定義規(guī)則設置，涵蓋過濾、捕獲、觸發(fā)、解碼、分析、存儲與導出等多個維度，能夠滿足復雜網(wǎng)絡環(huán)境下的精準監(jiān)測需求。以下是具體規(guī)則類型及設置方式：

一、過濾規(guī)則：精準篩選目標流量

1. 基礎字段過濾
   • IP/端口過濾：通過源/目的IP、端口號縮小范圍。例如：
     • ip.src == 192.168.1.100（僅顯示源IP為該地址的數(shù)據(jù)包）
     • tcp.port == 80（僅顯示HTTP流量）
   • 協(xié)議類型過濾：直接篩選特定協(xié)議，如http、icmp、dns等。
   • 邏輯組合：使用and、or、not組合條件，例如：
     • (ip.src == 192.168.1.1 and tcp.port == 80) or (ip.dst == 192.168.1.2 and udp.port == 53)
     • !(ip.addr == 10.0.0.5)（排除所有涉及10.0.0.5的數(shù)據(jù)包）
2. 高級字段過濾
   • 協(xié)議特定字段：針對協(xié)議深層字段篩選，例如：
     • http.request.method == "GET"（僅顯示HTTP GET請求）
     • dns.qry.name contains "example.com"（篩選包含特定域名的DNS查詢）
     • tcp.flags.syn == 1（僅顯示TCP SYN握手包）
   • 正則表達式匹配：支持對文本字段進行模式匹配，例如：
     • http.request.uri matches "^/api/.*"（匹配所有以/api/開頭的HTTP請求路徑）
     • data contains "48656c6c6f"（十六進制過濾，匹配數(shù)據(jù)中包含"Hello"的ASCII編碼）
3. 時間與長度過濾
   • 時間范圍：結合時間戳篩選特定時間段的數(shù)據(jù)，例如：
     • frame.time >= "2025-07-17 10:00:00" and frame.time <= "2025-07-17 10:30:00"
   • 數(shù)據(jù)包長度：根據(jù)幀長度或協(xié)議負載大小篩選，例如：
     • frame.len > 1000（顯示長度超過1000字節(jié)的數(shù)據(jù)包）
     • tcp.len == 0（篩選TCP零窗口通告包，分析網(wǎng)絡擁塞）

二、捕獲規(guī)則：優(yōu)化數(shù)據(jù)采集效率

1. 鏈路層過濾
   • 以太網(wǎng)幀過濾：基于MAC地址或幀類型捕獲，例如：
     • ether src 00:11:22:33:44:55（捕獲源MAC地址為該值的幀）
     • ether dst ff:ff:ff:ff:ff:ff and arp（捕獲廣播地址的ARP請求）
   • USB過濾：針對USB設備地址、傳輸類型或端點號過濾，例如：
     • usb.device_address == 3 and usb.transfer_type == 0x01（捕獲設備地址3的控制傳輸）
2. 協(xié)議層過濾
   • IP協(xié)議過濾：捕獲特定IP包，例如：
     • ip.src == 192.168.1.100 and icmp（捕獲源IP為192.168.1.100的ICMP包）
   • HTTP協(xié)議過濾：捕獲特定HTTP請求，例如：
     • http.request.method == "GET" and http.request.uri contains "/api/data"
3. 專用協(xié)議過濾
   • BLE協(xié)議：捕獲特定設備地址或廣告包，例如：
     • ble.advertising_address == 00:1a:7d:da:71:13（捕獲指定BLE設備的廣告包）
   • Zigbee協(xié)議：過濾特定設備地址或功能簇，例如：
     • Source Address: 0x1234, Cluster ID: 0x0006（捕獲設備0x1234的開關控制命令）

三、觸發(fā)規(guī)則：實時響應關鍵事件

1. 邊沿/電平觸發(fā)
   • 邊沿觸發(fā)：捕獲信號上升沿或下降沿，例如I2C的SCL上升沿。
   • 電平觸發(fā)：監(jiān)測信號達到特定電壓閾值，例如USB的VBUS>4.5V。
2. 協(xié)議字段觸發(fā)
   • 基于協(xié)議包頭或特定字段觸發(fā)，例如：
     • USB的PID字段為DATA0（捕獲USB數(shù)據(jù)包）
     • PCIe的TLP包類型為Memory Read Request
3. 多級觸發(fā)
   • 設置主觸發(fā)和次觸發(fā)，例如：
     • 主觸發(fā)：I2C > Start Condition（捕獲I2C起始條件）
     • 次觸發(fā)：I2C > Address = 0x50（捕獲設備地址為0x50的I2C通信）
     • 觸發(fā)模式：設置為AND（需同時滿足條件）。
4. 序列觸發(fā)
   • 捕獲按特定順序發(fā)生的事件，例如：
     • PCIe的Memory Read Request后跟隨Completion（觸發(fā)條件設置為Sequence > TLP1 = MRd, TLP2 = CplD）。

四、解碼與分析規(guī)則：深度解析協(xié)議行為

1. 自定義協(xié)議解碼
   • 對私有協(xié)議（如自定義傳感器通信）定義幀結構，包括起始位、數(shù)據(jù)位、校驗位等。
2. 錯誤標記與統(tǒng)計
   • 啟用協(xié)議錯誤檢測（如CRC校驗失敗、幀長度錯誤），并在波形上標記錯誤位置。例如：
     • USB 3.2數(shù)據(jù)包若CRC5校驗失敗，分析儀會在包尾顯示紅色錯誤標志。
3. 多協(xié)議關聯(lián)分析
   • 同步顯示不同協(xié)議的時間關系，例如USB事務與I2C配置命令的時序。

五、存儲與導出規(guī)則：靈活管理數(shù)據(jù)

1. 分段存儲
   • 將存儲空間劃分為多個段（如每段1MB），按觸發(fā)事件循環(huán)覆蓋，避免單次事件占用全部存儲。
   • 配置：在分析儀菜單中選擇Storage > Segmented，設置段數(shù)（如1024段）和段大?。ㄈ?MB）。
2. 自動報告生成
   • 生成包含協(xié)議統(tǒng)計信息（如包數(shù)量、錯誤率、吞吐量）的PDF報告。例如：
     • Teledyne LeCroy Advisor T3的Report Generator功能可自動生成USB協(xié)議性能報告，包含帶寬利用率、事務延遲等關鍵指標。
3. 數(shù)據(jù)導出格式
   • 支持導出為CSV、TXT、MAT（MATLAB）等格式，便于后續(xù)分析。