Scapy Sniffer的filter語法




qualifier

  1. type(定義了類型)

可選值:host, net, port, portrange

例如:

host hostnameA

net 172.31            //相當於172.31.0.0/16,又例如:192.168.1相當於192.168.1.0/24

port 80

portrange 6000-6010

 

  1. dir(direction,定義了傳輸方向)

可選值:src, dst, src or dst, src and dst

例如:

src net 172.31

src or dst port 21

 

  1. proto(protocol定義了網絡協議)

可選值:ether, fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp, udp, icmp

(fddi, tr, wlanether的別名, 包結構很類似)

例如:

ether src hostnameA

arp net 172.31

udp portrange 7000-8000

 

連接詞:and, or, not

例如:

tcp or udp

not icmp

 

常用的一些表達式([]表示可選項,/表示並列可選項):

[src/dst] host host

IPv4/v6[/目的]主機為host,既可以是IP地址又可以是hostname,前面可以追加ip,arp, rarpip6,例如:

ip host host

 

ether host/src/dstehost

以太網地址/源地址/目的地址ehostehost可以是名稱或number

 

gateway host

報文以host作為gateway

 

[src/dst] net net

IPv4/v6[/目的]地址的網絡號為netnet既可以是一個網絡名也可以是一個網絡號,IPv4的網絡號可以寫成點分式,例如:192.168.1.0,或者192.168.1(等價於192.168.1.0/24),或者172.16(等價於172.16.0.0/16),或者10(等價於10.0.0.0/8)IPv6的掩碼為ff:ff:ff:ff:ff:ff,所以IPv6的地址匹配模式為全匹配,需要完全匹配對應的主機IPv6地址

 

net net mask netmask

匹配網絡號和掩碼,掩碼格式例如:255.255.0.0IPv6不支持此語法

 

net net/len

netmask的另一種寫法,len指定子網掩碼的長度

 

[src/dst] port port

匹配[/目的]端口號

 

[src/dst] portrangeport1-port2

匹配[源/目的]端口范圍

 

less length

報文長度小於等於length,等價於len <= length

 

greater length

報文長度於等於length,等價於len>= length

 

ip proto protocol

匹配IPv4,協議類型為protocol,protocol可取值為:icmp, icmp6, igmp, igrp, pim, ah,esp, vrrp, udp, tcp,注意icmp, tcp, udp也是關鍵字,所以需要使用“\”進行轉義

 

ip6 proto protocol

匹配IPv6的協議

 

ip/ip6 protochain protocol

匹配IPv4/v6協議,協議中的protocolheader chain中包含protocol,例如:

ip6 protochain 6

(注:6代表TCP)

Value (in decimal)

Header

0

Hop-by-Hop Options Header

6

TCP

17

UDP

41

Encapsulated IPv6 Header

43

Routing Header

44

Fragment Header

46

Resource ReSerVation Protocol

50

Encapsulating Security Payload

51

Authentication Header

58

ICMPv6

59

No next header

60

Destination Options Header

 

ether broadcast

匹配以太網廣播報文

 

ip broadcast

匹配IPv4廣播報文

 

參考鏈接:

http://biot.com/capstats/bpf.html

http://alumni.cs.ucr.edu/~marios/ethereal-tcpdump.pdf


注意!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系我们删除。



 
粤ICP备14056181号  © 2014-2021 ITdaan.com