|
做應(yīng)用識別這一塊經(jīng)常要對應(yīng)用產(chǎn)生的數(shù)據(jù)流量進(jìn)行分析�����。 抓包采用wireshark�����,提取特征時�,要對session進(jìn)行過濾��,找到關(guān)鍵的stream�����,這里總結(jié)了wireshark過濾的基本語法,供自己以后參考���。(腦子記不住東西)
wireshark進(jìn)行過濾時�,按照過濾的語法可分為協(xié)議過濾和內(nèi)容過濾�����。 對標(biāo)準(zhǔn)協(xié)議���,既支持粗粒度的過濾如HTTP����,也支持細(xì)粒度的�����、依據(jù)協(xié)議屬性值進(jìn)行的過濾如tcp.port==53�����、http.request.method=="GET"����。 對內(nèi)容的過濾��,既支持深度的字符串匹配過濾如http contains "Server"���,也支持特定偏移處值的匹配過濾如tcp[20:3] == 47:45:54。
wireshark有兩種過濾器: 捕捉過濾器(CaptureFilters):用于決定將什么樣的信息記錄在捕捉結(jié)果中�。
顯示過濾器(DisplayFilters):用于在捕捉結(jié)果中進(jìn)行詳細(xì)查找。
捕捉過濾器在抓抱前進(jìn)行設(shè)置��,決定抓取怎樣的數(shù)據(jù)��;顯示過濾器用于過濾抓包數(shù)據(jù)���,方便stream的追蹤和排查��。 捕捉過濾器僅支持協(xié)議過濾����,顯示過濾器既支持協(xié)議過濾也支持內(nèi)容過濾����。 兩種過濾器它們支持的過濾語法并不一樣����。
捕捉過濾器--捕捉前依據(jù)協(xié)議的相關(guān)信息進(jìn)行過濾設(shè)置| 語法: | Protocol | Direction | Host(s) | Value | Logical Operations | Other expression | | 例子: | tcp | dst | 10.1.1.1 | 80 | and | tcp dst 10.2.2.2 3128 |
示例: | (host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8 |
捕捉IP為10.4.1.12或者源IP位于網(wǎng)絡(luò)10.6.0.0/16,目的IP的TCP端口號在200至10000之間,并且目的IP位于網(wǎng)絡(luò) 10.0.0.0/8內(nèi)的所有封包����。
字段詳解: Protocol(協(xié)議):
可能值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果沒指明協(xié)議類型,則默認(rèn)為捕捉所有支持的協(xié)議�。
注:在wireshark的HELP-Manual Pages-Wireshark Filter中查到其支持的協(xié)議。
Direction(方向):
可能值: src, dst, src and dst, src or dst
如果沒指明方向�����,則默認(rèn)使用 “src or dst” 作為關(guān)鍵字����。
”host 10.2.2.2″與”src or dst host 10.2.2.2″等價。
Host(s):
可能值: net, port, host, portrange.
默認(rèn)使用”host”關(guān)鍵字�,”src 10.1.1.1″與”src host 10.1.1.1″等價。
Logical Operations(邏輯運算):
可能值:not, and, or.
否(“not”)具有最高的優(yōu)先級�����?���;?“or”)和與(“and”)具有相同的優(yōu)先級,運算時從左至右進(jìn)行�。
“not tcp port 3128 and tcp port 23″與”(not tcp port 3128) and tcp port 23″等價����。
“not tcp port 3128 and tcp port 23″與”not (tcp port 3128 and tcp port 23)”不等價�����。
顯示過濾器--對捕捉到的數(shù)據(jù)包依據(jù)協(xié)議或包的內(nèi)容進(jìn)行過濾1.協(xié)議過濾語法
| 語法: | Protocol | . | String 1 | . | String 2 | Comparison operator | Value | Logical Operations | Other expression | | 例子: | http | | request | | method | == | "POST" | or | icmp.type |
string1和string2是可選的����。 依據(jù)協(xié)議過濾時,可直接通過協(xié)議來進(jìn)行過濾����,也能依據(jù)協(xié)議的屬性值進(jìn)行過濾。 按協(xié)議進(jìn)行過濾: | snmp || dns || icmp | 顯示SNMP或DNS或ICMP封包���。 |
按協(xié)議的屬性值進(jìn)行過濾:
| ip.src != 10.1.2.3 or ip.dst != 10.4.5.6 |
| ip.src == 10.230.0.0/16 | 顯示來自10.230網(wǎng)段的封包�����。 |
| tcp.port == 25 | 顯示來源或目的TCP端口號為25的封包��。 |
| tcp.dstport == 25 | 顯示目的TCP端口號為25的封包���。 |
| http.request.method== "POST" | 顯示post請求方式的http封包。 |
| http.host == "tracker.1ting.com" | 顯示請求的域名為tracker.1ting.com的http封包�����。 |
| tcp.flags.syn == 0×02 | 顯示包含TCP SYN標(biāo)志的封包����。 |
2.內(nèi)容過濾語法 2.1深度字符串匹配 contains :Does the protocol, field or slice contain a value
示例
| tcp contains "http" | 顯示payload中包含"http"字符串的tcp封包。 |
| http.request.uri contains "online" | 顯示請求的uri包含"online"的http封包���。 |
2.2特定偏移處值的過濾
tcp[20:3] == 47:45:54 /* 16進(jìn)制形式��,tcp頭部一般是20字節(jié)�,所以這個是對payload的前三個字節(jié)進(jìn)行過濾 */ http.host[0:4] == "trac"
過濾中函數(shù)的使用(upper����、lower)
upper(string-field) - converts a string field to uppercase lower(string-field) - converts a string field to lowercase 示例
upper(http.request.uri) contains "ONLINE"
wireshark過濾支持比較運算符、邏輯運算符�����,內(nèi)容過濾時還能使用位運算�����。
如果過濾器的語法是正確的,表達(dá)式的背景呈綠色�。如果呈紅色,說明表達(dá)式有誤�����。
參考: wireshark的HELP-Manual Pages-Wireshark Filter http://blog.csdn.net/yhwxxx/article/details/5643095 http://tieba.baidu.com/p/739516717
|
