Wireshark Filter的顏色與意義
|
Name |
Filter |
顏色與意義 |
|
Bad TCP |
tcp.analysis.flags
&& !tcp.analysis.window_update && !tcp.analysis.keep_alive
&& !tcp.analysis.keep_alive_ack |
黑底紅字;TCP解析出錯,通常重傳,亂序,丟包,重複響應都在此條規則的範圍內。 |
|
HSRP State Change |
hsrp.state != 8
&& hsrp.state != 16 |
黑底黃字;HSRP即熱備份路由式通訊協定(Hot Standby Router Protocol),這條規則表示狀態非active和standby。 |
|
Spanning Tree
Topology Change |
stp.type == 0x80 |
黑底黃字;生成樹協定的狀態標記為0x80,生成樹拓撲發生變化。 |
|
OSPF State Change |
ospf.msg != 1 |
黑底黃字;OSPF(Open Shortest Path First,開放式最短路徑優先協定)的msg類型不是hello。 |
|
ICMP errors |
icmp.type eq 3 ||
icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || icmpv6.type eq 1 ||
icmpv6.type eq 2 || icmpv6.type eq 3 || icmpv6.type eq 4 |
黑底綠字;ICMP協定錯誤,協定的type欄位值錯誤。 |
|
ARP |
arp |
綠底黑字;即ARP協議 |
|
ICMP |
icmp || icmpv6 |
淺紫底黑字;即icmp協議 |
|
TCP RST |
tcp.flags.reset
eq 1 |
紅底黃字;TCP流被RESET。 |
|
SCTP ABORT |
sctp.chunk_type
eq ABORT |
紅底黃字;串流控制協議的chunk_type為ABORT(6)。 |
|
TTL low or
unexpected |
( ! ip.dst ==
224.0.0.0/4 && ip.ttl < 5 && !pim && !ospf) ||
(ip.dst == 224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl !=
1 && !(vrrp || carp)) |
紅底白字;TTL異常。 |
|
Checksum Errors |
eth.fcs.status=="Bad"
|| ip.checksum.status=="Bad" ||
tcp.checksum.status=="Bad" || udp.checksum.status=="Bad"
|| sctp.checksum.status=="Bad" ||
mstp.checksum.status=="Bad" || cdp.checksum.status=="Bad"
|| edp.checksum.status=="Bad" || wlan.fcs.status=="Bad"
|| stt.checksum.status=="Bad" |
黑底紅字;條件中的各類協議的checksum異常,在PC上抓包時網卡的一些設置經常會使Wireshark顯示此錯誤。 |
|
SMB |
smb || nbss ||
nbns || netbios |
黃底黑字;Server
Message Block類協議。 |
|
HTTP |
http || tcp.port
== 80 || http2 |
淺綠底黑字;HTTP協議,這是很簡陋的識別方法。 |
|
DCERPC |
dcerpc |
深紫底黑字;即DCE/RPC,分散式運算環境/遠端程序呼叫(Distributed Computing Environment
/ Remote Procedure Calls)協定。 |
|
Routing |
hsrp || eigrp ||
ospf || bgp || cdp || vrrp || carp || gvrp || igmp || ismp |
黃底黑字;路由類協議 |
|
TCP SYN/FIN |
tcp.flags &
0x02 || tcp.flags.fin == 1 |
犮底黑字;TCP連接的起始和關閉。 |
|
TCP |
tcp |
淡紫底黑字;TCP協議。 |
|
UDP |
udp |
淡藍底黑字;UDP協議。 |
|
Broadcast |
eth[0] & 1 |
白底犮字;廣播資料。 |
|
System Event |
systemd_journal
|| sysdig |
犮底淺藍字;系統調用及系統事件等系統活動。 |
黑色背景代表報文的各類錯誤,紅色背景代表各類異常情景,其它顏色代表正常
篩檢程式編寫
|
(1)篩檢程式編寫規則 |
(2)篩檢程式編寫例子 |
||
|
a. 表達符號 與:&&或者and 或:||或者or 非:!或者not |
b. 比較符號 等於:eq或== 不等於:ne或!= 大於:gt或> 小於:lt或< 大於等於:ge或≥ 小於等於:le或≤ |
a. 對源位址進行過濾 ip.src == 192.168.0.1 b. 對目的地址進行過濾 ip.dst == 192.168.0.1 c. 對源位址或者目的地址進行過濾 ip.addr == 192.168.0.1 |
d. 對協議進行過濾 http e. 針對埠的過濾(視傳輸協議而定)| 捕獲某一埠的資料包(以TCP協定為例) tcp.port == 80 f. 針對長度的過慮(長度指資料段的長度) udp.length < 20
http.content_length <=30 |
沒有留言:
發佈留言
歡迎留下寶貴意見