Scroll Table Layout |
---|
orientation | default |
---|
sortDirection | ASC |
---|
repeatTableHeaders | default |
---|
style | |
---|
widths | 20%, 80% |
---|
sortByColumn | 1 |
---|
tableStyling | confluence |
---|
sortEnabled | false |
---|
cellHighlighting | true |
---|
|
Scroll Title |
---|
| Примитив | Описание |
---|
dst host host | - ИСТИНА, если IPv4-поле назначения пакета "host", что может быть как адресом, так и именем
| src host host | - ИСТИНА, если IPv4-поле источника пакета "host"
| host host | - ИСТИНА, если IPv4-поле источника или назначения пакета "host"
- Любое из описанных выражений с "host" может иметь в качестве префикса ключевые слова ip, ip6, arp, rarp. Например: “ip host host”, что эквивалентно “ether proto \ip and host host”
| ether dst ehost | - ИСТИНА, если Ethernet-адрес назначения "ehost"
- "Ehost" должен иметь числовой формат: XX:XX:XX:XX:XX:XX
| ether src ehost | - ИСТИНА, если Ethernet-адрес источника "ehost"
| ether host ehost | - ИСТИНА, если Ethernet-адрес источника или назначения "ehost"
| dst net net | - ИСТИНА, если IPv4-адрес назначения пакета имеет номер сети net
| src net net | - ИСТИНА, если IPv4-адрес источника пакета имеет номер сети "net"
| net net | - ИСТИНА, если IPv4-адрес источника или назначения пакета имеет номер сети "net"
| net net mask netmask | - ИСТИНА, если IPv4-адрес соответствует сети с определенной сетевой маской "netmask".
- Может быть уточнен с помощью "src" или "dst"
| net net/len | - ИСТИНА, если IPv4-адрес соответствует сети с len – битной сетевой маской.
- Может быть уточнен с помощью "src" или "dst"
| dst port port | - ИСТИНА, если пакет "ip/tcp", "ip/udp" и имеет значение порта назначения "port".
| src port port | - ИСТИНА, если значение порта источника "port".
| port port | - ИСТИНА, если значение порта источника или порта назначения пакета port.
| dst portrange port1-port2 | - ИСТИНА, если пакет "ip/tcp", "ip/udp" и имеет значение порта назначения между port1 и port2
- "port1" и "port2" интерпретируются аналогично параметру "port"
| src portrange port1-port2 | - ИСТИНА, если пакет имеет значение порта источника между "port1" и "port2"
| portrange port1-port2 | - ИСТИНА, если значение порта источника или порта назначения пакета между "port1" и "port2"
- Любое из описанных выражений с "port"или "portrange" может иметь в качестве префикса ключевые слова "tcp" или "udp". Например: “tcp src port port”, что означает «только tcp пакеты с портом источника port»
| less length | - ИСТИНА, если длина пакета меньше или равна "length"
- Эквивалентно выражению: “len <= length”
| greater length | - ИСТИНА, если длина пакета больше или равна "length"
- Эквивалентно выражению: “len >= length”
| ip proto protocol | - ИСТИНА, если пакет является пакетом IPv4 с типом протокола "protocol"
- "Protocol"может быть номером или одним из следующих имен icmp, icmp6, igmp, igrp, pim, ah, esp, vrrp, udp, или tcp
- Идентификаторы "tcp", "udp" и "icmp" также являются ключевыми словами и должны отделяться обратной косой чертой \, что соответствует \\ в C-shell
- Этот примитив не отслеживает последовательности заголовков протоколов
| ip protochain protocol | - ИСТИНА, если пакет является пакетом IPv4 и содержит заголовки протокола с типом "protocol в последовательности заголовков протоколов
- Например, “ip protochain 6” соответствует любому пакету IPv4 с заголовком протокола TCP в последовательности заголовков протоколов
- Пакет может содержать между заголовком IPv4 и заголовком TCP, например, заголовок аутентификации, заголовок маршрутизации или заголовок "hop-by-hop option"
- Код, генерируемый этим примитивом, сложен и не может быть оптимизирован, что может замедлять работу
| ether broadcast | - ИСТИНА, если пакет является широковещательным Ethernet-пакетом
- Ключевое слово "ether" не является обязательным
| ether multicast | - ИСТИНА, если пакет является многоадресным (или широковещательным) Ethernet-пакетом
- Ключевое слово "ether" не является обязательным
- Эквивалентно выражению “ether[0] & 1 != 0”
| ip multicast | - ИСТИНА, если пакет является многоадресным (или широковещательным) пакетом IPv4
| ether proto protocol | - ИСТИНА, если значение поля "ether type" пакета "protocol"
- Protocol может быть номером или одним из следующих имен ip, ip6 ,arp, rarp, atalk, aarp, sca, lat, mopdl, moprc, iso, stp, ipx, или netbeui
- Эти идентификаторы также являются ключевыми словами и должны отделяться обратной косой чертой \
- В Ethernet ОС WANFleX проверяет поле ether type для большинства из этих протоколов. Исключения:ОС WANFleX проверяет на наличие кадров 802.3, а затем проверяет заголовок LLC так же, как для FDDI, Token Ring и 802.11
- atalk
ОС WANFleX проверяет на наличие "AppleTalk etype" в кадре Ethernet и на наличие пакетов формата SNAP так же, как для FDDI, Token Ring и 802.11 - aarp
ОС WANFleX проверяет на наличие "AppleTalk ARP etype" в кадре Ethernet или 802.2 SNAP кадра с уникальным идентификатором (OUI) 0x000000 - ipx
ОС WANFleX проверяет на наличие "IPX etype" в кадре Ethernet, IPX DSAP в заголовке LLC, 802.3-with-no-LLC-header инкапсуляции IPX и IPX etype в кадре SNAP
| ip, arp, rarp, atalk, aarp, iso, stp, ipx, netbeui | - Сокращенные варианты ether proto p, где p - один из вышеупомянутых протоколов
| svlan [vlan_id] | - ИСТИНА, если пакет является пакетом IEEE 802.1Q Service VLAN (ether proto 0x88a8)
| vlan [vlan_id] | - ИСТИНА, если пакет является пакетом IEEE 802.1Q VLAN (ether proto 0x8100)
- Если "[vlan_id]" указан, ИСТИНА, только если пакет имеет указанный "vlan_id"
- Первое ключевое слово "vlan" или "svlan", встретившееся в выражении изменяет расчет смещения полей для оставшейся части выражения, исходя из того, что это VLAN пакет
- Выражение "vlan" "[vlan_id]" может использоваться более одного раза, для фильтрации по иерархии VLAN
- Каждое использование этого выражения увеличивает смещение фильтра на 4
- Например: “svlan 100 && vlan 200” фильтрует по VLAN 200, инкапсулированному в Service VLAN 100, а “vlan 300 && ip” фильтрует протоколы IPv4, инкапсулированные в VLAN 300, а “svlan 100” фильтрует все пакеты, инкапсулированные в Service VLAN 100
| mpls [label_num] | - ИСТИНА, если пакет является пакетом MPLS
- Если "[label_num]" указан, ИСТИНА, только если пакет имеет указанный "label_num"
- Первое ключевое слово "mpls", встретившееся в выражении изменяет расчет смещения полей для оставшейся части выражения, исходя из того, что это IP-пакет, инкапсулированный в MPLS
- Выражение "mpls" "[label_num]" может использоваться более одного раза, для фильтрации по иерархии MPLS
- Каждое использование этого выражения увеличивает смещение фильтра на 4
- Например: “mpls 100000 && mpls 1024 “ фильтрует пакеты с внешней меткой 100000 и внутренней меткой 1024, а “mpls && mpls 1024 && host 192.9.200.1” фильтрует пакеты к или от 192.9.200.1 с внутренней меткой 1024 и любой внешней меткой
| pppoed | - ИСТИНА, если пакет является пакетом PPP-over-Ethernet Discovery (ether proto 0x8863)
| pppoes | - ИСТИНА, если пакет является пакетом PPP-over-Ethernet Session (ether proto 0x8864)
- Первое ключевое слово "pppoes", встретившееся в выражении изменяет расчет смещения полей для оставшейся части выражения, исходя из того, что это пакет PPPoE session
- Например: “pppoes && ppp proto 0x21” фильтрует протоколы IPv4, инкапсулированные в PPPoE
| tcp, udp, icmp | - Сокращенные варианты "ip proto p", где "p" - один из вышеупомянутых протоколов
| iso proto protocol | - ИСТИНА, если пакет является пакетом OSI типа "protocol"
- "Protocol" может быть номером или одним из следующих имен "clnp", "esis", или "isis"
| clnp, esis, isis | - Сокращенные варианты "iso proto p", где "p" - один из вышеупомянутых протоколов
| expr relop expr | - ИСТИНА, если имеет место данное соотношение, где "relop" – один из следующих знаков >, <, >=, <=, =, !=, а expr– арифметическое выражение, составленное из целочисленных констант (выраженных в стандартном синтаксисе C), бинарных операторов [+, -, *, /, &, |, <<, >>], длины оператора и специального пакета данных средств доступа
- Обратите внимание, что все сравнения беззнаковые, так что, например, 0x80000000 и 0xffffffff будут > 0
- Чтобы получить доступ к данным внутри пакета, используйте следующий синтаксис: “proto [ expr : size ]”
- Proto – один из следующих протоколов: ether, fddi, tr, wlan, ppp, slip, link, ip, arp, rarp, tcp, udp, icmp, и обозначает уровень протокола для операции с индексом (ether, fddi, wlan, tr, ppp, slip и link предполагают канальный уровень)
- tcp, udp и другие типы протоколов верхнего уровня применяются только к IPv4
- Смещение в байтах, связанное с указанным уровнем протокола, задается при помощи "expr"
- Size – необязательный элемент и указывает число байтов в интересующем поле. Может быть равен 1, 2 или 4, по умолчанию 1
- Оператор длины, обозначаемый ключевым словом len, задает длину пакета
- Например, “ether[0] & 1 != 0” перехватывает весь многоадресный трафик
- Выражение “ip[0] & 0xf != 5” перехватывает все пакеты IPv4 с опциями
- Выражение “ip[6:2] & 0x1fff = 0” перехватывает только дефрагментированные датаграммы IPv4 и фрагменты frag zero фрагментированных датаграмм IPv4
- Эта проверка неявно применяется к "tcp" и "udp" операциям с индексами
- Например, "tcp[0]" всегда значит первый байт заголовка TCP, и никогда не означает первый байт промежуточного фрагмента
- Некоторые смещения и значения поля могут быть выражены именами, а не числовыми значениями
- Возможны следующие смещения полей заголовка протокола:icmptype (поле типа ICMP), icmpcode (поле кода ICMP) и tcpflags (поле метки TCP)
- Возможные значения поля типа ICMP: icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redirect, icmp-echo, icmp-routeradvert, icmp-routersolicit, icmp-timxceed, icmp-paramprob, icmp-tstamp, icmp-tstampreply, icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply
- Возможные значения поля метки TCP: tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-ack, tcp-urg
|
|
|