如何应用过滤器？

　　其实过滤器除了自己定义外还可以导入已经定义好的，首先，我们可以去NG公司的网站去下载Sniffer过滤器，需要说明的是Sniffer的病毒过滤器的名称定义是来自McAfee的定义，与其它防病毒厂商尤其是国内的防病毒厂商的病毒名称定义是有一些差异的。
　　
　　下载到过滤器，我们就可以把该过滤器导入到Sniffer里去了。解压开下载到的过滤器文件，你会看到许多文件，我们以Mydoom病毒过滤器文件举例说明：Importing Filter.rtf（导入过滤器说明文件），Sniffer Filter Creation Specification for W32_MyDoom@MM.rtf（说明如何定义Mydoom病毒过滤器），NetAsyst - W32_Mydoom@MM.csf（NetAsyst软件使用－－NG公司针对中小型企业定制的软件，功能与Sniffer Pro基本相当，只限10/100M Ethernet和Wireless使用），SnifferDistributed4.* - W32_MyDoom@MM.csf(分布式Sniffer使用，有多个版本：4.1，4.2，4.3，4.5等），还有就是我们需要使用的SnifferPortable4.* - W32_Mydoom@MM.csf（有4.7,4.7.5,4.8等版本，针对你所使用的Sniffer版本号来选择你需要的）。
　　接着找到Sniffer的安装目录，默认情况下是在：C:\Program Files\NAI\SnifferNT\Program，找到该目录下的“Nxsample.csf”文件，将它改名成Nxsample.csf.bak（主要是为了备份，否则可以删除），然后将我们所需要的过滤器文件SnifferPortable4.7.5 - W32_Mydoom@MM.csf文件拷贝到该目录，并将它改名为“Nxsample.csf”。
? ??然后，我们再打开Sniffer Pro软件，定义过滤器（display--Define Filter），选择Profile－－New－－在New Profile Name里填入相应的标识，如W32/Mydoom－－选择Copy Sample Profile－－选择W32/Mydoom@MM，确定后，我们就算做好了Mydoom这个病毒的过滤器。
　　
　　现在，我们就可以在过滤器选择里选择Mydoom过滤器对Mydoom病毒进行检测了。
　　下面你在DECODE窗口里使用这个过滤器，如果你没过滤到任何数据，恭喜，你捕获的数据里没有这个病毒，你可以安心了；如过你过滤到了数据，也恭喜，你有成绩了，然后根据过滤到的数据源IP、MAC等信息找到用户，进行相应的处理，避免病毒的扩散。
　　
　　
   以下是一些我在工作中捕获到的异常数据：
   ARP扫描：
   ARP欺骗
   
   邮件病毒：
   P2P流量：