Die in einem LAN-Analyzer eingebaute Funktion, aus der Gesamt-Menge aller LAN-Pakete genau die heraus zu filtern, die bestimmten Vorgaben bzw. Inhalten entsprechen, wird als Filter-Funktion bezeichnet.
Online-Filter arbeiten während der Zeit der Daten-Aufzeichnung
.
Offline-Filter arbeiten während der nachträglichen Verarbeitung der Messdaten.
Offset bezeichnet den Ort, Pattern den Inhalt der gesuchten Zeichenfolge.
Offset = Versatz, Verrückung
Eine bestimmte Position innerhalb einer Datenmenge, gerechnet vom Beginn an.
Pattern = Muster, Zeichenfolge
Mit "Pattern" wird die gesuchte Zeichenfolge gemeint. Streng genommen kann jedes gesuchte Muster als "Pattern" bezeichnet werden (auch optische Muster); bei der LAN-Analyse sind jedoch Zeichenfolgen gemeint ("strings").
In den Protokollen TCP und UDP werden die Applikationen, deren Daten im gegebenen Paket übertragen werden, durch numerische Kennungen identifiziert, die "Ports" genannt werden; die Software-Schnittstelle im Treiber hierzu heißt "Socket".
Um die Pakete einer bestimmten Applikation heraus zu filtern, brauchen in vielen Fällen lediglich Filter auf die TCP/UDP-Ports gesetzt zu werden, die von der Applikation verwendet werden.
Problematisch wird diese Vorgehensweise bei Multiplex-Protokollen, die mehrere Applikationen gleichzeitig bedienen. Dies gilt für die File-Service-Protokolle von Microsoft
und Novell
, da die einzelnen Applikation nicht erkennbar ist, wenn Datei- und Druckdienste über das Netzwerk genutzt werden.
Die LAN-Pakete werden gefiltert in Abhängigkeit von der Anwesenheit (Abwesenheit) bestimmter Paket-Inhalte. Hierbei werden entweder Klartext-Angaben gemacht (also schlicht Text) oder Hex-Folgen eingegeben (etwa: 0x01020304).
Content Filter können so gesetzt werden, dass der verlanget Inhalt an einer bestimmten Position im Paket gegeben sein muss
, oder eben so, dass die Position beliebig ist.
Mail
an die Online-Redaktion zum aktuellen Thema ("Analysefilter").