报文匹配规则
1. 匹配时间
1
2
3
4
5
6
7
8
9
10
11
12
1. 匹配指定时间段内的数据包:
frame.time >= "YYYY-MM-DD HH:MM:SS":匹配大于或等于指定时间的数据包。
frame.time <= "YYYY-MM-DD HH:MM:SS":匹配小于或等于指定时间的数据包。
frame.time >= "YYYY-MM-DD HH:MM:SS" && frame.time <= "YYYY-MM-DD HH:MM:SS":匹配在指定时间范围内的数据包。
2. 匹配相对时间:
frame.time_relative >= X:匹配相对时间大于或等于X秒的数据包。
frame.time_relative <= X:匹配相对时间小于或等于X秒的数据包。
frame.time_relative >= X && frame.time_relative <= Y:匹配相对时间在X秒和Y秒之间的数据包。
3.
请注意,以上示例中的时间格式为"YYYY-MM-DD HH:MM:SS",其中YYYY表示年份,MM表示月份,DD表示日期,HH表示小时,MM表示分钟,SS表示秒。你需要根据实际情况替换为具体的时间值。
2. 匹配info内容
1
http matches "匹配info内容"
3. 匹配请求方式
1
http.request.method==POST
4. 多层匹配关系
1
2
3
4
5
6
&&: 和
or: 或
比如:
匹配请求方式是post,且在 2023-10-10 14:44:00 -- 2023-10-10 14:44:50 之内的 报文
http.request.method==POST && frame.time >= "2023-10-10 14:44:00" && frame.time <= "2023-10-10 14:44:50"
5. 匹配端口
1
2
3
4
5
6
7
8
9
tcp(http)
tcp.port == 80
源端口或目标端口
tcp.srcport == 8080
tcp.dstport == 443
删选UDP:
udp.port == 53
6. 指定协议
1
2
3
4
5
仅显示 HTTP 流量
http
仅显示 HTTPS 流量
ssl
本文由作者按照
CC BY 4.0
进行授权