Преднастроенные правила поиска по сетевым пакетам

Поиск трафика по IP-адресу

host <address>

<address> – IPv4-адрес

host 10.10.0.1

Поиск трафика между двумя хостами

host <address1> and host <address2>

<address1> и <address2> – IPv4-адреса

host 10.10.0.1 and host 10.10.0.2

Поиск трафика одной TCP-сессии

tcp <port1> and host <address1> and tcp <port2> and host <address2>

• <address1> и <address2> – IPv4-адреса коммуникации
• <port1> и <port2> - порты коммуникации

tcp port 80 and tcp port 53567

and host 10.10.0.1 and host 10.10.0.2

Поиск трафика по нескольким IP-адресам

host <address1> or host <address2> or ... host <addressN>

<address 1-N> – IPv4-адреса

host 10.10.0.1 and host 10.10.0.2 and host 10.10.0.3

Поиск всех DNS-запросов от группы хостов

udp and dst port 53 and ( src host <address1> or src host <address2> or ... src host <addressN> )

<address 1-N> – IPv4-адреса

udp and dst port 53 and ( src host 10.10.0.1 or src host 10.10.0.2 )

Поиск HTTP-трафика

" HTTP/"

Фильтр следует использовать без кавычек

Поиск DNS-трафика

udp dst port 53 or tcp dst port 53

Только стандартный DNS

Поиск HTTP-трафика c GET-запросом к определённому домену

tcp port 80 or tcp port 8000 or tcp port 8080 or tcp port 8888

GET.{1,1000}<домен>

<домен> – домен, который нужно найти

Поиск ICMP-трафика конкретного хоста

icmp and host <address>

<address> – IPv4-адрес

icmp and host 10.10.10.1

Поиск аутентификационных данных, передаваемых в открытом виде

tcp port 80 or tcp port 8000 or tcp port 8080 or tcp port 8888 or port ftp or port smtp or port imap or port pop3 or port

telnet

"pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|Username:|Password:|login:|pass |user|VXNlcm5hbWU6|UGFzc3dvcmQ6|LOGIN |USER|PASS "

Фильтр следует использовать без кавычек

Поиск TCP-сессий, в которых хост выступает в роли клиента

tcp[tcpflags] = tcp-syn and host <address>

<address> – IPv4-адрес

tcp[tcpflags] = tcp-syn and host 10.10.10.1

Поиск HTTP-трафика в заданной подсети

net xx.xx.xx.xx/yy and ( port 8080 or port 80 )

xx.xx.xx.xx/yy – подсеть IPv4 с маской

net 10.10.10.0 /24 and ( port 8080 or port 80 )

Поиск трафика локального взаимодействия

ip and src net (10 or 172.16/12 or 192.168/16) and dst net (10 or 172.16/12 or 192.168/16)

Поиск трафика взаимодействия c объектами интернет

ip and not (src net (10 or 172.16/12 or 192.168/16) and dst net (10 or 172.16/12 or 192.168/16)) and not multicast and not broadcast and not net 169.254/16

Поиск трафика по полю UserAgent в HTTP-трафике

User-Agent: