Преднастроенные правила поиска по сетевым пакетам

Вы можете выполнять поиск по трафику с помощью преднастроенных правил с иcпользованием BPF и регулярных выражений.

Чтобы выполнить поиск по сетевым пакетам с использованием преднастроенного правила:

  1. В окне веб-интерфейса приложения выберите раздел Карта сети.
  2. Перейдите на вкладку Сетевые сессии.
  3. Нажмите на кнопку Поиск по пакетам.

    Отобразится окно настройки параметров поиска по сетевым пакетам.

  4. В поле Период трафика для скачивания задайте границы, в рамках которых приложение будет искать сетевые пакеты.
  5. В таблице ниже скопируйте нужное выражение фильтрации из столбца Фильтрация с использованием BPF или Фильтрация с использованием регулярных выражений и вставьте скопированное значение в соответствующий блок в веб-интерфейсе параметров поиска по сетевым пакетам.
  6. Нажмите на кнопку Поиск.

В таблице отобразятся данные, соответствующие заданным критериям фильтрации.

Преднастроенные правила приведены в таблице ниже.

Преднастроенные правила поиска по сетевым пакетам

Назначение правила

Фильтрация с использованием BPF

Фильтрация с использованием регулярных выражений

Пояснение

Пример

Поиск трафика по IP-адресу

host <address>

 

<address>  IPv4-адрес

host 10.10.0.1

Поиск трафика между двумя хостами

host <address1> and host <address2>

 

<address1> и <address2>  IPv4-адреса

host 10.10.0.1 and host 10.10.0.2

Поиск трафика одной TCP-сессии

tcp <port1> and host <address1> and tcp <port2> and host <address2>

 
  • <address1> и <address2>  IPv4-адреса коммуникации
  • <port1> и <port2> - порты коммуникации

tcp port 80 and tcp port 53567

and host 10.10.0.1 and host 10.10.0.2

Поиск трафика по нескольким IP-адресам

host <address1> or host <address2> or ... host <addressN>

 

<address 1-N> – IPv4-адреса

host 10.10.0.1 and host 10.10.0.2 and host 10.10.0.3

Поиск всех DNS-запросов от группы хостов

udp and dst port 53 and ( src host <address1> or src host <address2> or ... src host <addressN> )

 

<address 1-N> – IPv4-адреса

udp and dst port 53 and ( src host 10.10.0.1 or src host 10.10.0.2 )

Поиск HTTP-трафика

 

" HTTP/"

Фильтр следует использовать без кавычек

 

Поиск DNS-трафика

udp dst port 53 or tcp dst port 53

 

Только стандартный DNS

 

Поиск HTTP-трафика c GET-запросом к определённому домену

tcp port 80 or tcp port 8000 or tcp port 8080 or tcp port 8888

GET.{1,1000}<домен>

<домен> – домен, который нужно найти

 

Поиск ICMP-трафика конкретного хоста

icmp and host <address>

 

<address> – IPv4-адрес

icmp and host 10.10.10.1

Поиск аутентификационных данных, передаваемых в открытом виде

tcp port 80 or tcp port 8000 or tcp port 8080 or tcp port 8888 or port ftp or port smtp or port imap or port pop3 or port

telnet

"pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|Username:|Password:|login:|pass |user|VXNlcm5hbWU6|UGFzc3dvcmQ6|LOGIN |USER|PASS "

Фильтр следует использовать без кавычек

 

Поиск TCP-сессий, в которых хост выступает в роли клиента

tcp[tcpflags] = tcp-syn and host <address>

 

<address> – IPv4-адрес

tcp[tcpflags] = tcp-syn and host 10.10.10.1

Поиск HTTP-трафика в заданной подсети

net xx.xx.xx.xx/yy and ( port 8080 or port 80 )

 

xx.xx.xx.xx/yy – подсеть IPv4 с маской

net 10.10.10.0 /24 and ( port 8080 or port 80 )

Поиск трафика локального взаимодействия

ip and src net (10 or 172.16/12 or 192.168/16) and dst net (10 or 172.16/12 or 192.168/16)

 

 

 

Поиск трафика взаимодействия c объектами интернет

ip and not (src net (10 or 172.16/12 or 192.168/16) and dst net (10 or 172.16/12 or 192.168/16)) and not multicast and not broadcast and not net 169.254/16

 

 

 

Поиск трафика по полю UserAgent в HTTP-трафике

User-Agent:

 

 

 

В начало