tshark命令列抓流量包過濾欄位進行snort規則分析整理
阿新 • • 發佈:2018-11-13
tshark過濾器欄位整理
在wireshark官網看了很久,終於整理了一點點對進行snort規則分析 有用的欄位 ,還不完整先進行記錄一下吧
IP相關欄位提取記錄
欄位名稱 |
描述 |
型別 |
ip.flags.df |
不要片段 |
Boolean true(1),false(0) |
ip.dst(ip.dst_host) |
目的IP |
IPv4地址 |
ip.src(ip.src_host) |
源IP |
IPv4地址 |
TCP相關欄位
欄位名稱 |
描述 |
型別 |
tcp.dstport |
目的埠 |
無符號整數 |
tcp.srcport |
源埠 |
無符號整數 |
PROTOCOL相關欄位
欄位名稱 |
描述 |
型別 |
_ws.col.Protocol |
協議型別 |
無符號整數 |
Udp相關欄位
欄位名稱 |
描述 |
型別 |
udp.dstport |
目的埠 |
無符號整數 |
udp.port |
源或目標埠 |
無符號整數 |
udp.srcport |
源埠 |
無符號整數 |
Data相關欄位
欄位名稱 |
描述 |
型別 |
data.data |
資料 |
位元組序列 |
data.text |
文字 |
字串 |
udp.srcport |
|
|