IP等しいとして1. IPフィルタリング、IP送信元または宛先IP
:例
ip.src ip.dst EQ EQ 192.168.1.107または192.168.1.107
または
ip.addr EQ 192.168.1.107 //表示することができ、送信元および宛先IP
2.フィルタポート
例:
tcp.portのEQ 80 //ポートがソースまたはターゲットであるかどうかが表示されている
tcp.port == 80
tcp.port EQ 2722
tcp.port EQ EQ udp.port 80または80
== tcp.dstportを80 //表示のみ、TCPプロトコルの宛先ポート80
tcp.srcport == @ 80ののみを表示TCPプロトコルの送信元ポート80
15000 EQ udp.port
フィルタポート範囲
> = tcp.port。1 tcp.port及び<= 80
。3。フィルタリングプロトコル
例:
TCP
、UDP
、ARP
、ICMP
、HTTP
、SMTP
、FTP
、DNSは
msnms
IP
SSL
OICQ
BOOTP
など
ARPパケットは、ARPのARPとしてかどうか、除外!
4. MACフィルタ
あまりにも頭フィルタリングするためにメッシュ
eth.dst == A0:00:00: 04:C5:84 // ターゲットMACフィルタリング
eth.src EQのA0:00:00: 04:C5:84 //フィルタ元のMAC
eth.dst == A0:00:00:04:C5:84
eth.dst == A0-00-00-04-C5-84
eth.addr EQ A0:00: 00:04:C5:84 // MAC送信元および宛先MACフィルタがA0に等しい:00:00:04: C5:84 である
LT <未満未満
ル以下
EQ等しい
GTよりも大きい
か等しいGEより大きい
範囲NE
フィルタパックの長さ
例:
udp.length == 26は、長さ8自体UDP UDPプラスデータパケットの次の部分の和の固定長さ
> = 7 tcp.lenは、IPパケット(TCP以下のデータ部分を指し)、それ自体がTCPを除く
固定長のイーサネットヘッダ14、ip.len考え他のに加えて== 94 ip.lenすなわち端から自体は、IP
ETH最初から最後まで、パケット全体の119 ==長さをframe.len
ETH ---> IPまたはARP ---> TCPやUDP --->データ
6.httpモードフィルタの
例:
http.request.method == "GET"
http.request.method == "POST"
http.Request。 "/img/logo-edu.gif" == URI
HTTP含まれている"GET"
。"HTTP / 1"が含まれているHTTP
パッケージGET //
:== http.request.methodを"GET" &&含まれているHTTP "ホスト"
http.request == "GET" HTTP .method && "のUser-Agent:"が含ま
// POSTパッケージ
http.requestを。この方法は、== "POST" && HTTPが含まれている "ホスト:"
== http.request.method「POST」は&& HTTP「User--エージェント:」含ま
//応答パケットが
HTTP「HTTPは/ 1.1 200 OKである」&& HTTP含ま含む「タイプ内容:」
HTTP含む「HTTPは/ 1.0 200 OKです」 :&& HTTPは、 "コンテンツタイプが含まれ 、"
次含まれている必要があります
:Content-Typeの
フィルタリング7.TCPパラメータ
tcp.flags表示パケットはTCPフラグが含まれています。
tcp.flags.syn == 0x02の表示は、TCP SYNパケットのフラグが含まれます。
!。tcp.window_size 1 == 0 && tcp.flags.reset =
フィルタの8コンテンツ
TCP [20] 20の開始から表し、文字かかる
TCPを[20:] 20の開始から表し、文字以上かかる
TCPを[20 :8] 8つの文字かかり、20の開始から表し
【、N-】オフセットTCPを
3] == 81:60:03 // 8つのバイトオフセットは、数3、バックを取るかどうか==:UDP [8同じデータ?
UDP [8:1] == 32私は何も問題がなければ、それはUDPでなければならない推測する[オフセット:採取の数]をnValueは=
:06:5B eth.addr [0 :. 3] == 00
例:
我々はすべてのUDP。8の固定長ことを知っている
UDP [8 :. 3] ==午後08時21分22秒は、
フロントピースのTCPパケットを解析三0x21でただし0x22は0x20に等しい
一般的にTCP、長さは20であるが、20がない場合
TCP [8:3] == 20時21分22秒
あなたが最も正確なを取得したい場合は、最初のTCP長さを知っている必要があり
マッチ(試合)を、構文(Aからなる文字列)が含まれてい
ip.src == 192.168.1.107とUDP [8: 5]マッチ"\\ \\ X21 X12 X02 \\ \\ \\ X00 X22"
ip.src == 192.168.1.107とUDP含ま02:12:21:00:22
ip.src == 192.168.1.107とTCP含まれている「GET」は
UDP(c)インクルードが含まれています:7C:7D:7Dは、必ずしも最初のバイトから一致しない0x7c7c7d7dペイロードを含むUDPパケットを照合。
例:
ローカルQQのログイン・データ・パケットを取得(== 0x02の決定された最初のパケット、第四及び第五のパケットが0x00x22に等しく、最後のパケットは0×03に等しい)
が0x02 0x00のただし0x22 ... 0x03のXX XX
正しい
OICQおよびUDP [ 8:]マッチ"^ \\ X02 [\\ X00 - \\ XFF] [\\ X00 - \\ XFF] \\ X00 \\ X22 [\\ X00 - \\ XFF] + \\ X03の$"
OICQとUDP [8:]マッチ "^ \\ X02 [\\ X00 - \\ XFF] {2} \\ X00 \\ X22 [\\ X00 - \\ XFF] + \\ X03 $" // ログイン・パケット
OICQと(UDP [8]マッチ"^ \\ X02 [\\ X00 - \\ XFF] {2} \\ X03の$"またはTCP [8]マッチ「^ \\ X02 [\\ X00 - \\ XFF] 2 {X03} \\ $ ")
OICQと(UDP [8:]マッチ" ^ \\ X02 [xOO \\ - \\ XFF] {2} \\ \\ xOO X22 [xOO \\ - \\ XFF] + \\ X03 $ "または TCP [20:]マッチ" ^ \\ X02 [\\ X00 - \\ XFF] {2} \\ X00 \\ X22 [\\ X00 - \\ XFF] + \\ X03 $「)は
:)が他のパッケージは、TCPがある(以下の条件を満たすように、またですが、行っていない、ただ唯一の午後12時22 QQ番号ではありません
X02 ^ \\ [\\ X00:OICQとUDP [8]マッチ」 - \\ XFF] X03 \\ $ + "および(UDP [11:2] ==午後12時)及び(UDP [11:2] == 00:80。)!!
OICQ UDP及び[8]マッチ"。 ^ \\ X02 [\\ X00 - \\ XFF] + \\ X03の$「と(UDP [11:2] == 0時00分)と(UDP [15:4] ==午後12時○○分00秒! :00)
説明:
UDP [15 :. 4] == 00:00:00:00が空のQQの数を表し
、UDP [11:2] == 00:00コマンド番号00:00であることを示し
たUDP [11:2] = = 00:番号80は、コマンドが00:80であることを示しています
コマンドは00:80番すると、QQ番号は00:00:00:00
の判定条件は「USR 7 OK」である(成功した着陸のMSNアカウントを取得するには、それは最初の3 USRに等しく、2つの0x20で、それがOKでありますOKが続くが、文字は0x20です)メールの背後にある
USRのXX OK [email protected]
正しい
msnmsとtcpとip.addr == 192.168.1.107と TCP [20:]マッチ「^ USR \\×20 [\\ X30 - \\ X39] + \\ x20OK \\ X20 [\\ X00 - \\ XFF] + "
9.dnsモードフィルタ
10.DHCP
例えば不正なDHCPサーバを見つけるためには、Wiresharkのの使用を記載しています。表示フィルタでフィルタリングルールを追加します
:ですが0x02(オファー/ ACK)==ディスプレイおよびDHCPサーバ以外bootp.typeからすべての情報
が0x02 == == bootp.typeはip.srcないと192.168.1.1
11.msn
msnms && TCP [23:1] == 20 // MSN第四パケットが0x20のである
msnms && TCP [20:1] > = 41 && TCP [20:1] <= 5(a)&& TCP [21:1]> 41 TCP = [21 :. 1] = 41がTCP <= 5(a)の[22 :. 1] &&である<= 5(a)&& TCP [22 1 :.ある]> &&ある
msnms && TCP == "USR" //コマンドエンコーディングを見つける[20 3 :.です] USRのパケットである
msnms && TCPは[20:3] == "MSG" //はコマンドコードがMSGパケットである見つける
tcp.portの== 1863 || tcp.port == 80
のコマンドコードを含むパケットを決定する方法?MSNパケット
などの1)または80ポート1863、:tcp.port == == 80 tcp.port 1863 ||
2)このデータは以下のような最初の三つの大文字である:
TCP [20:1]> = 41 && TCP [20:1 ] <= 5(a)&
3)第四のような、0x20にある:TCP == 20である[23 :.が1である]
。TCPなど)に属するMSN TCPプロトコル、4
MSN Messengerのプロトコル解析
http://blog.csdn.net/Hopping/archive/2008/ 。11/13 / 3292257.aspxのある
MSNプロトコル分析
http://blog.csdn.net/lzyzuixin/archive/2009/03/13/3986597.aspx
より詳細に説明
<< Wiresharkのフィルタ式の例について説明>>
HTTP:/ /www.csna.cn/viewthread.php?tid=14614
英語Wiresharkの主なインタフェースは対照的に、操作メニュー
http://www.csna.cn/viewthread.php?tid=9645&extra=page%3D1は
良いネットワークを持っています解析ソフトウェア
「ネットワーク解析システムに支店」
のEthereal / Wiresharkのウェブサイトを学ぶ
http://www.csna.cn/index.php
################################################## #########################
1、Wiresharkの基本的な構文の文字が
\ D 0-9
\ D \、すなわち、すべての数字以外の文字(SOコーパスキャラクタ、以下同様に)補体dは
、小文字が参照W単語文字\、0-図面9、下線付き
の\ W \ W補体
キャリッジリターンの\ R&LT、タブの\ T、垂直タブの\ V、改ページ\ F、改行\ N-含む\ S空白文字を、
\ S \補数をね
。改行\ n個以外のすべての文字。Perlで「シングルラインモード」「改行一致モードと呼ばれる」
。*任意のテキストではなく、キャリッジリターン(\ n)を一致します?。そして、[0x00-0xff] * \ N-を含む、任意のテキストに一致する
[...]リストされた[]内のすべての文字に一致する
[]記載されているに[^ ...]非一致文字
-------- -------------------------------------------------- ------------------------------
2、仮想キャラクタによって表される文字の位置は、それはまた、位置を表し、直感的に2つの文字の間に小さなギャップで表される「文字位置」という。
^文字は、その後、文字列の先頭に配置する必要があります表し
$が前の文字が文字列の末尾になければならないことを示している
\ bは単語の境界と一致する
\ Bは非単語境界に一致します
-------------------------------------------------- --------------------------------------
3、繰り返しの説明文字列は、
{N}前の文字にマッチしますn回は
{N、}直前の文字をn回一致または超えるn回
{N、M}は先行する文字と一致N M倍に
?直前の文字0または1一致
+ 1マッチ直前の文字1回以上倍
*直前の文字がゼロまたはタイプ0回にマッチし
------------------------------------- -------------------------------------------------- -
。4、及びマッチング又は
および記号
又は記号又は
例えば:
TCPのtcp.portの== 80と
TCPまたはUDP
------------------------- -------------------------------------------------- -------------
。5、マッチング式Wiresharkのは、例えばろ過
5.1、検索フィルタセグメントペイロードは、UDP条件は(UDP 8は、ヘッドが8バイトであるから、データ部、 9バイトのUDP [8])
UDP [8] == 14(14進数の0x14にある)0x14の最初のペイロードバイトのUDPパケットに一致する
UDPを[8:2] ==午前14時05は、UDPができる[8:2] == 1405 、 唯一三つ以上の結腸であることが、二つの連続するバイトをサポートしています。進パーティションを示しています。(等価UDP [8] == 14およびUDP [9] == 05,1405が0x1405である)
UDPの== 22である[8 :. 3]:00:8 :. 3] F7が、UDPない== 2200f7
UDP [ 8:4] == 00:04 :00:2A、 ペイロード0x0004002aの最初の4バイトに一致するように
し、UDPは7C含ま:7C:7D: 7D 0x7c7c7d7d必ずしも最初の単語からペイロードを含むマッチングUDPパケットをセクションの試合。
UDPマッチ"X14 \\ \\ \\ X07 X05 X18 \\" [8 :. 4]
UDP [8:]マッチ"^ \\ \\ X05 X14 X18 \\ \\ \\ X07 X14"
5.2、条件検索TCPフィルタリングされたデータ・セグメント・ペイロード(TCP 20は20バイトのヘッダ、21バイトのTCPから始まるデータ部[20:]である)
、TCP [20:]マッチ「GET ^ [ - 〜] * HTTP /1.1\\x0d\\x0a "
同等ザ・が一致したHTTP" GET ^ [ - 〜] * HTTP / 1.1 x0d \\ \\ X0A "
TCP [20:]マッチ" ^ GET HTTP / 1.1 \\ x0d(。*?) X0A \\ "
TCP [20:]マッチ" ^ GET HTTP / 1.1 x0d \\ \\ X0A [\\ X00 - \\ XFF] *ホスト(*。?):
TCP [20:]マッチ"^ GET HTTP / 1.1 x0d \\ \\ X0A [\\ X00 - \\ XFF] *ホスト(*。?):"
TCP [20:]マッチ「^ POST / HTTP / 1.1 \ \ x0d \\ X0A [\\ X00 - \\ XFF] * \\ x0d \\ x0aConnection:キープアライブ\\ x0d \\ X0A \\ x0d \\ X0A「
検出フラグのSMB SMBヘッダ、タグを示すTCPのSMBヘッドは、24byteの位置が一致で開始します。
TCP [24:4] == FF :53:4D:42
53:4D:検出は、SMBのSMBヘッダをマークし、TCPデータは16進数のFFを含ん42、データヘッドTCPから探索を開始します。
FFのTCPが含ま:53である:4D:42である、
マッチ"\\ XFF X4d \\ \\ \\ X53 X42" TCP
BD、このデータの先頭からのTCP検索:検出器を含むTCP六角01。
TCPマッチ"\\ X01 \\ XBD"
検出経路MS08067 RPCリクエスト
TCP 5C:00:2E:00:2E:00:5C:00:2E:00:2E:00:== 00 [179 13である]
\ 。\。
5.3、他の
文字列".GIF" URIを含む整合フィルタHTTPリクエスト、および.GIFで終わる(4バイト)のHTTP要求パケット"$ .GIF" http.request.uriマッチ($正規表現の最後が文字の略です)
違いに注意してください:http.request.uriは対照的に、「.GIF $」が含まれ、「.GIF $」(5バイト)を含む文字列が含まれています。"$ .gifメモ" URIを含む整合フィルタHTTPリクエストのHTTP要求パケット列($は文字ではなく、終了文字です)
eth.addr [0 :. 3] MACアドレス検索フィルター4F前:== 00:1E 3バイト0x001e4fパケットです。
完成