http過濾方法 tshark過濾條件?
tshark過濾條件?那我就來解答一下吧跟著做就行了:tshark使用-f來指定捕捉包過濾規(guī)則,規(guī)則與tcpdump一樣,可以通過命令man pcap-filter來查得tshark使用-R來過濾已捕
tshark過濾條件?
那我就來解答一下吧跟著做就行了:
tshark使用-f來指定捕捉包過濾規(guī)則,規(guī)則與tcpdump一樣,可以通過命令man pcap-filter來查得tshark使用-R來過濾已捕捉到的包,與界面板wireshark的左上角Filter一致舉個栗子抓Mysql包命令如下:tshark -s 512 -i eth0 -n -f #39tcp dst port 3306#39 -R #39mysql.query#39 -T fields -e mysql.querytshark -s 512 -i em1 -n -f #39tcp dst port 3306#39 -R #39mysql.query#39 -T fields -e mysql.query過濾HTTP請求:# tshark #39tcp port 80 and (((ip[2:2] - ((ip[0]amp0xf)ltlt2)) - ((tcp[12]amp0xf0)gtgt2)) ! 0)#39 -R # #34G
為什么要過濾http?
過濾掉HTTP,這樣能使。網(wǎng)頁的鏈接看起來更加的流暢。
數(shù)據(jù)過濾原理是什么?
數(shù)據(jù)過濾功能是通過在DPI應(yīng)用profile中引用數(shù)據(jù)過濾策略,并在安全策略或?qū)ο蟛呗灾幸肈PI應(yīng)用profile來實(shí)現(xiàn)的,設(shè)備對報(bào)文進(jìn)行數(shù)據(jù)過濾處理的整體流程如下:
(1) 當(dāng)設(shè)備收到基于HTTP、FTP、SMTP等協(xié)議的報(bào)文時,設(shè)備將對匹配了策略的報(bào)文進(jìn)行數(shù)據(jù)過濾處理。有關(guān)安全策略的詳細(xì)介紹請參見“安全配置指導(dǎo)”中的“安全策略”;有關(guān)對象策略規(guī)則的詳細(xì)介紹請參見“安全配置指導(dǎo)”中的“對象策略”。
(2) 設(shè)備提取報(bào)文中的應(yīng)用層信息與數(shù)據(jù)過濾規(guī)則進(jìn)行匹配,并根據(jù)匹配結(jié)果對報(bào)文執(zhí)行動作:
? 如果報(bào)文同時與多個規(guī)則匹配成功,則執(zhí)行這些規(guī)則中優(yōu)先級最高的動作,動作優(yōu)先級從高到低的順序?yàn)椋簛G棄 gt 放行,但是對于生成日志動作只要匹配成功的規(guī)則中存在就會執(zhí)行。
? 如果報(bào)文只與一個規(guī)則匹配成功,則執(zhí)行此規(guī)則中指定的動作。
? 如果報(bào)文未與任何數(shù)據(jù)過濾規(guī)則匹配成功,則設(shè)備直接允許報(bào)文通過。