这篇文章详细解读了一个复杂的网络流量筛选条件,涉及IP源/目的地址匹配、特定TCP/UDP端口、HTTP POST请求、窗口大小限制以及HTTP头部信息检查。理解这些规则有助于在网络监控和安全分析中应用。
(ip.src==192.168.1.1 || ip.dst == 192.168.2.2) && (http.request.method == "POST")
(tcp.flags == 0x010 || udp.srcport == 80 || tcp.dstport ==80 )&&(tcp.window_size==64800 || http contains "OK" || ip.addr == 192.168.1.1)
以上表达式含义解释
|| 等于 or
&& 等于 and
ip.src表示取Source的地址(原地址)
ip.dst作用与ip.src相反,取得是Destination(目的地址)
还有一条表达式ip.addr,这个就表示取src和dst中出现过该IP的都将被筛选出来
http.request.method == "POST"表示筛出HTTP请求方式为POST,相应的当然也有GET
tcp.port == 80表示使用tcp连接的端口为80的数据包,同时还可以使用tcp.srcport = = 80来筛选来源端口为80的数据包
tcp.flags == 0x010表示筛选tcp协议中存在Flags值为0x010的包
tcp.window_size == 64800 和tcp.flags使用同理
http contains "HTTP/1.1 200 OK"表示再http的请求头中包含HTTP/1.1 200 OK的
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
