http过滤方法 tshark过滤条件?
tshark过滤条件?
那我就来解答一下吧跟着做就行了:
tshark使用-f来指定捕捉包过滤规则,规则与tcpdump一样,可以通过命令man pcap-filter来查得tshark使用-R来过滤已捕捉到的包,与界面板wireshark的左上角Filter一致举个栗子抓Mysql包命令如下:tshark -s 512 -i eth0 -n -f #39tcp dst port 3306#39 -R #39mysql.query#39 -T fields -e mysql.querytshark -s 512 -i em1 -n -f #39tcp dst port 3306#39 -R #39mysql.query#39 -T fields -e mysql.query过滤HTTP请求:# tshark #39tcp port 80 and (((ip[2:2] - ((ip[0]amp0xf)ltlt2)) - ((tcp[12]amp0xf0)gtgt2)) ! 0)#39 -R # #34G
为什么要过滤http?
过滤掉HTTP,这样能使。网页的链接看起来更加的流畅。
数据过滤原理是什么?
数据过滤功能是通过在DPI应用profile中引用数据过滤策略,并在安全策略或对象策略中引用DPI应用profile来实现的,设备对报文进行数据过滤处理的整体流程如下:
(1) 当设备收到基于HTTP、FTP、SMTP等协议的报文时,设备将对匹配了策略的报文进行数据过滤处理。有关安全策略的详细介绍请参见“安全配置指导”中的“安全策略”;有关对象策略规则的详细介绍请参见“安全配置指导”中的“对象策略”。
(2) 设备提取报文中的应用层信息与数据过滤规则进行匹配,并根据匹配结果对报文执行动作:
? 如果报文同时与多个规则匹配成功,则执行这些规则中优先级最高的动作,动作优先级从高到低的顺序为:丢弃 gt 放行,但是对于生成日志动作只要匹配成功的规则中存在就会执行。
? 如果报文只与一个规则匹配成功,则执行此规则中指定的动作。
? 如果报文未与任何数据过滤规则匹配成功,则设备直接允许报文通过。
版权声明:本文内容由互联网用户自发贡献,本站不承担相关法律责任.如有侵权/违法内容,本站将立刻删除。
