2021年12月9日星期四

How to identify the filter color rules in wireshark?

 Wireshark Filter的顏色與意義

Name

Filter

顏色與意義

Bad TCP

tcp.analysis.flags && !tcp.analysis.window_update && !tcp.analysis.keep_alive && !tcp.analysis.keep_alive_ack

黑底紅字;TCP解析出錯,通常重傳,亂序,丟包,重複響應都在此條規則的範圍內。

HSRP State Change

hsrp.state != 8 && hsrp.state != 16

黑底黃字;HSRP即熱備份路由式通訊協定(Hot Standby Router Protocol),這條規則表示狀態非activestandby

Spanning Tree Topology  Change

stp.type == 0x80

黑底黃字;生成樹協定的狀態標記為0x80,生成樹拓撲發生變化。

OSPF State Change

ospf.msg != 1

黑底黃字;OSPFOpen Shortest Path First,開放式最短路徑優先協定)的msg類型不是hello

ICMP errors

icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || icmpv6.type eq 1 || icmpv6.type eq 2 || icmpv6.type eq 3 || icmpv6.type eq 4

黑底綠字;ICMP協定錯誤,協定的type欄位值錯誤。

ARP

arp

綠底黑字;即ARP協議

ICMP

icmp || icmpv6

淺紫底黑字;即icmp協議

TCP RST

tcp.flags.reset eq 1

紅底黃字;TCP流被RESET

SCTP ABORT

sctp.chunk_type eq ABORT

紅底黃字;串流控制協議的chunk_typeABORT6)。

TTL low or unexpected

( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim && !ospf) || (ip.dst == 224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || carp))

紅底白字;TTL異常。

 

Checksum Errors

eth.fcs.status=="Bad" || ip.checksum.status=="Bad" || tcp.checksum.status=="Bad" || udp.checksum.status=="Bad" || sctp.checksum.status=="Bad" || mstp.checksum.status=="Bad" || cdp.checksum.status=="Bad" || edp.checksum.status=="Bad" || wlan.fcs.status=="Bad" || stt.checksum.status=="Bad"

黑底紅字;條件中的各類協議的checksum異常,在PC上抓包時網卡的一些設置經常會使Wireshark顯示此錯誤。

SMB

smb || nbss || nbns || netbios

黃底黑字;Server Message Block類協議。

HTTP

http || tcp.port == 80 || http2

淺綠底黑字;HTTP協議,這是很簡陋的識別方法。

DCERPC

dcerpc

深紫底黑字;即DCE/RPC,分散式運算環境/遠端程序呼叫(Distributed Computing Environment / Remote Procedure Calls)協定。

Routing

hsrp || eigrp || ospf || bgp || cdp || vrrp || carp || gvrp || igmp || ismp

黃底黑字;路由類協議

TCP SYN/FIN

tcp.flags & 0x02 || tcp.flags.fin == 1

犮底黑字;TCP連接的起始和關閉。

TCP

tcp

淡紫底黑字;TCP協議。

UDP

udp

淡藍底黑字;UDP協議。

Broadcast

eth[0] & 1

白底犮字;廣播資料。

System Event

systemd_journal || sysdig

犮底淺藍字;系統調用及系統事件等系統活動。

黑色背景代表報文的各類錯誤,紅色背景代表各類異常情景,其它顏色代表正常

篩檢程式編寫

1)篩檢程式編寫規則

2)篩檢程式編寫例子

a. 表達符號

與:&&或者and

或:||或者or

非:!或者not

b. 比較符號

等於:eq==

不等於:ne!=

大於:gt>

小於:lt<

大於等於:ge

小於等於:le

a. 對源位址進行過濾

ip.src == 192.168.0.1

b. 對目的地址進行過濾

ip.dst == 192.168.0.1

c. 對源位址或者目的地址進行過濾

ip.addr == 192.168.0.1

d. 對協議進行過濾

http

e. 針對埠的過濾(視傳輸協議而定)| 捕獲某一埠的資料包(以TCP協定為例)

tcp.port == 80

f. 針對長度的過慮(長度指資料段的長度)

udp.length < 20  

http.content_length <=30

 



沒有留言:

發佈留言

歡迎留下寶貴意見

資訊資產盤點

 https://forms.gle/KP7VuzdRgFyT3kqX9 https://docs.google.com/spreadsheets/d/1JrCSUoK8DFm4SloUYkofqvYNdy3ArDy7gQ376vT-6HQ/edit?usp=sharing