size 
 Tamano del paquete. Los valores aceptados son numericos (ej: size=1514) o rangos (ej. size from 64 to 84 o size in 64..84 
para cualquier tamano entre 64 y 84).  
str
 Contenido del paquete. Utilice esta funcion para indicar que el paquete debe contener una cadena de caracteres. Esta funcion 
tiene tres argumentos: cadena de caracteres, posicion y MAYUSCULAS/min sculas. El primer argumento es una cadena de 
caracteres, por ejemplo  GET . El segundo argumento es un n mero que indica el desplazamiento de la posicion de la cadena de 
caracteres en el paquete. La primera posicion para medir el desplazamiento es CERO, por ejemplo si esta buscando por el primer 
Byte en el paquete, el valor del desplazamiento debe ser 0. Si el valor del desplazamiento no es importante, utilice 
1. El tercer 
argumento es MAYUSCULAS/min sculas y puede ser false (no sensible a MAYUSCULAS/min sculas) o true (sensible a 
MAYUSCULAS/min sculas). El segundo y el tercer argumento son opcionales, si se omiten, el desplazamiento por omision es 
1 y la 
sensibilidad a MAYUSCULAS/min sculas por omision es false. Ejemplos de uso: str( GET , 1,false), str( GET , 1), str ( GET ).  
hex
 Contenido del paquete. Utilice esta funcion para indicar que el paquete debe contener un cierto patron hexadecimal. Esta 
funcion tiene dos argumentos: patron hex y posicion. El primer argumento es un valor hexadecimal, ejemplo 0x4500. El segundo 
argumento es un n mero indicando el desplazamiento del patron en el paquete. El desplazamiento esta basado en cero, ejemplo. Si 
usted esta buscando por el primer byte de un paquete, el valor del desplazamiento debe ser 0. Si el desplazamiento no es 
importante, utilice 
1. El segundo argumento es opcional; si es omitido, el valor del desplazamiento sera 
1. Ejemplo de uso: 
hex(0x04500, 14) , hex(0x4500, 0x0E), hex (0x010101). 
  
bit
   Contenido del paquete. Use esta funcion para determinar si el bit especificado en el desplazamiento especificado esta fijado a 
1. En este caso, la funcion retorna un verdadero (true). Si el bit especificado esta fijado a 0 o el byte especificado esta mas alla del 
limite del paquete, la funcion retorna un falso (false). El primer argumento es el indice de bit en el byte; Los valores permitidos son  
0 7. El valor 0x01 indica que el indice de bit 0 esta fijado en 1, todos los demas bits estan fijados en 0. El segundo argumento es un 
n mero que indica la posicion (desplazamiento) en el paquete. El desplazamiento es de base cero, por ejemplo si esta buscando el 
primer byte en el paquete, el valor del desplazamiento debe ser 0. Ambos argumentos son obligatorios, Ejemplos de Uso: bit(0, 14) 
, bit(0, 0x0E).
Las palabras clave descriptas a continuacion pueden ser utilizadas con los siguientes operadores:  
and
 Conjuncion Booleana.  
or
   Disyuncion Booleana.              
not
 Negacion Booleana.        
=
   Igualdad aritmetica.  
!=
   desigualdad aritmetica.  
<>
   desigualdad aritmetica.  
>
   Aritmetica mayor que.  
<
   Aritmetica menor que.  
( )
 parentesis, operador de control precedente de las reglas.  
Todos los n meros pueden encontrarse en notacion decimal o hexadecimal. Si usted desea utilizar notacion hexadecimal, el n mero 
debe estar precedido de 0x, ejemplo usted puede utilizar tanto el 15 o el 0x0F.  
Ejemplos  
A continuacion encontrara un n mero de ejemplos ilustrando las reglas de sintaxis. Cada regla esta seguida por nuestros 
comentarios acerca de lo que realiza cada regla. Las reglas son mostradas en rojo. Los comentarios estan separados de la regla 
actual por dos barras. 
    
dir!=pass
 // 
Capturar solamente paquetes entrantes y salientes. Los paquetes pasantes que son enviados por otras 
computadoras en la LAN son ignorados
. 
    
(smac=00:00:21:0A:13:0E or smac=00:00:21:0A:13:0F) and etherproto=arp
 // 
Captura puertos ARP enviados por dos 
computadoras, 00:00:21:0A:13:0E y 00:00:21:0A:13:0F
. 
    
ipproto=udp and dport=137
 // 
Captura paquetes UDP/IP enviados al Puerto n mero 137
. 
    
dport=25 and
str( RCPT TO: ,  1, true)
 // 
Captura paquetes TCP/IP o UDP/IP que contengan " RCPT TO:" y donde el 
Puerto de destino es 25
. 
    
not (sport>110)
 // 
Capturar todo excepto los paquetes donde el Puerto de origen es mayor a 110
    
(sip=192.168.0.3 and dip=192.168.0.15)  or (sip=192.168.0.15 and dip=192.168.0.3)
 // 
Captura solamente los paquetes 
IP que estan siendo enviados entre las maquinas, 192.168.0.3 y 192.168.0.15. Todos los demas paquetes seran 
descartados.
    
((sip from 192.168.0.3 to 192.168.0.7) and (dip = 192.168.1.0/28)) and (flag=PA) and (size in 200..600)
 // 
Capturar los 
paquetes TCP cuyo tamano este entre 200 y 600 bytes provenientes de las direcciones IP cuyo rango sea 192.168.0.3 
192.168.0.7, cuya direccion IP de destino se encuentre en el segmento 192.168.0.1/255.255.255.240 , y cuando su 
indicador TCP es PSH ACK.  
    
Hex(0x0203, 89) and (dir<>in) 
// 
Capturar los paquetes que contienen 0x0203 y el desplazamiento 89, donde la 
direccion del paquete no sea entrante
. 






footer




 

 

 

 

 Home | About Us | Network | Services | Support | FAQ | Control Panel | Order Online | Sitemap | Contact

espana web hosting

 

Our web partners: Inexpensive Web Hosting Jsp Web Hosting Jsp Web Hosting Cheapest Web Hosting  Java Web Hosting

 Quality Web Templates Dreamweaver Web Templates Frontpage Web Templates

Jsp Web Hosting Cheapest Hosting Cheapest Web Hosting Java Web Hosting Tomcat Web Hosting

Quality Web Hosting Best Web Hosting Java Web Hosting

Visionwebhosting.net Business web hosting division of Vision Web Hosting Inc.. All rights reserved