功能描述 | 表达式 |
---|
IP目的地址 | ip.dst== 192.168.1.1 |
IP地址(包括源和目的) | ip.addr== 192.168.1.1 |
IP源地址 | ip.src ==192.168.1.1 |
功能描述 | 表达式 |
---|
TCP端口 | tcp.port==80 |
TCP目的端口 | tcp.dstport == 80 |
TCP源端口 | tcp.srcport == 80 |
UDP端口 | udp.port eq 15000 |
TCP 1-80之间的端口 | tcp.port >= 1 and tcp.port <= 80 |
http、tcp、udp、arp、icmp、http、smtp、ftp、dns 等。
功能描述 | 表达式 |
---|
源MAC地址 | eth.src==A0:00:00:04:C5:84 |
目的MAC地址 | eth.dst==A0:00:00:04:C5:84 |
MAC地址(包括源和目的) | eth.addr==A0:00:00:04:C5:84 |
功能描述 | 表达式 |
---|
整个UDP数据包 | udp.length==20 |
TCP数据包中的IP数据包 | tcp.len>=20 |
整个IP数据包 | ip.len==20 |
整个数据包 | frame.len==20 |
功能描述 | 表达式 |
---|
请求方法为GET | http.request.method==“GET” |
请求方法为POST | http.request.method==“POST” |
指定URI | http.request.uri==“/img/logo-edu.gif” |
请求或相应中包含特定内容 | http contains “FLAG” |
GET包
| 表达式 |
---|
1 | http.request.method == “GET” && http contains “User-Agent: “ |
2 | http.request.method == “GET” && http contains “Host: “ |
POST包
| 表达式 |
---|
1 | http.request.method == “POST” && http contains “Host: “ |
2 | http.request.method == “POST” && http contains “User-Agent: “ |
响应包
| 表达式 |
---|
1 | http contains “HTTP/1.1 200 OK” && http contains “Content-Type: “ |
2 | http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “ |
功能描述 | 表达式 |
---|
过滤目标mac | eth.dst == A0:00:00:04:C5:84 |
过滤来源mac | eth.src eq A0:00:00:04:C5:84 |
eth.dst==A0:00:00:04:C5:84 | |
eth.dst==A0-00-00-04-C5-84 | |
过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的 | eth.addr eq A0:00:00:04:C5:84 |
表达式 | 描述 |
---|
\d | 0-9的数字 |
\D | \d的补集(以所以字符为全集,下同),即所有非数字的字符 |
\w | 单词字符,指大小写字母、0-9的数字、下划线 |
\W | \w的补集 |
\s | 空白字符,包括换行符\n、回车符\r、制表符\t、垂直制表符\v、换页符\f |
\S | \s的补集 |
. | 除换行符\n外的任意字符。 在Perl中,“.”可以匹配新行符的模式被称作“单行模式” |
.* | 匹配任意文本,不包括回车(\n)? 。 而,[0x00-0xff]* 匹配任意文本,包括\n |
[…] | 匹配[]内所列出的所有字符 |
[^…] | 匹配非[]内所列出的字符 |
- 定位字符: 所代表的是一个虚的字符,它代表一个位置,你也可以直观地认为“定位字符”所代表的是某个字符与字符间的那个微小间隙。
表达式 | 描述 |
---|
{n} | 匹配前面的字符n次 |
{n,} | 匹配前面的字符n次或多于n次 |
{n,m} | 匹配前面的字符n到m次 |
? | 匹配前面的字符0或1次 |
+ | 匹配前面的字符1次或多于1次 |
* | 匹配前面的字符0次或式于0次 |
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/2dcbf74a12b9f2a0f5267b44689115e9.png)