size 


 Tamano del paquete. Los valores aceptados son numericos (ej: size=1514) o rangos (ej. size from 64 to 84 o size in 64..84 


para cualquier tamano entre 64 y 84).  


str


 Contenido del paquete. Utilice esta funcion para indicar que el paquete debe contener una cadena de caracteres. Esta funcion 


tiene tres argumentos: cadena de caracteres, posicion y MAYUSCULAS/min sculas. El primer argumento es una cadena de 


caracteres, por ejemplo  GET . El segundo argumento es un n mero que indica el desplazamiento de la posicion de la cadena de 


caracteres en el paquete. La primera posicion para medir el desplazamiento es CERO, por ejemplo si esta buscando por el primer 


Byte en el paquete, el valor del desplazamiento debe ser 0. Si el valor del desplazamiento no es importante, utilice 


1. El tercer 


argumento es MAYUSCULAS/min sculas y puede ser false (no sensible a MAYUSCULAS/min sculas) o true (sensible a 


MAYUSCULAS/min sculas). El segundo y el tercer argumento son opcionales, si se omiten, el desplazamiento por omision es 


1 y la 


sensibilidad a MAYUSCULAS/min sculas por omision es false. Ejemplos de uso: str( GET , 1,false), str( GET , 1), str ( GET ).  


hex


 Contenido del paquete. Utilice esta funcion para indicar que el paquete debe contener un cierto patron hexadecimal. Esta 


funcion tiene dos argumentos: patron hex y posicion. El primer argumento es un valor hexadecimal, ejemplo 0x4500. El segundo 


argumento es un n mero indicando el desplazamiento del patron en el paquete. El desplazamiento esta basado en cero, ejemplo. Si 


usted esta buscando por el primer byte de un paquete, el valor del desplazamiento debe ser 0. Si el desplazamiento no es 


importante, utilice 


1. El segundo argumento es opcional; si es omitido, el valor del desplazamiento sera 


1. Ejemplo de uso: 


hex(0x04500, 14) , hex(0x4500, 0x0E), hex (0x010101). 


  


bit


   Contenido del paquete. Use esta funcion para determinar si el bit especificado en el desplazamiento especificado esta fijado a 


1. En este caso, la funcion retorna un verdadero (true). Si el bit especificado esta fijado a 0 o el byte especificado esta mas alla del 


limite del paquete, la funcion retorna un falso (false). El primer argumento es el indice de bit en el byte; Los valores permitidos son  


0 7. El valor 0x01 indica que el indice de bit 0 esta fijado en 1, todos los demas bits estan fijados en 0. El segundo argumento es un 


n mero que indica la posicion (desplazamiento) en el paquete. El desplazamiento es de base cero, por ejemplo si esta buscando el 


primer byte en el paquete, el valor del desplazamiento debe ser 0. Ambos argumentos son obligatorios, Ejemplos de Uso: bit(0, 14) 


, bit(0, 0x0E).


Las palabras clave descriptas a continuacion pueden ser utilizadas con los siguientes operadores:  


and


 Conjuncion Booleana.  


or


   Disyuncion Booleana.              


not


 Negacion Booleana.        


=


   Igualdad aritmetica.  


!=


   desigualdad aritmetica.  


<>


   desigualdad aritmetica.  


>


   Aritmetica mayor que.  


<


   Aritmetica menor que.  


( )


 parentesis, operador de control precedente de las reglas.  


Todos los n meros pueden encontrarse en notacion decimal o hexadecimal. Si usted desea utilizar notacion hexadecimal, el n mero 


debe estar precedido de 0x, ejemplo usted puede utilizar tanto el 15 o el 0x0F.  


Ejemplos  


A continuacion encontrara un n mero de ejemplos ilustrando las reglas de sintaxis. Cada regla esta seguida por nuestros 


comentarios acerca de lo que realiza cada regla. Las reglas son mostradas en rojo. Los comentarios estan separados de la regla 


actual por dos barras. 


    


dir!=pass


 // 


Capturar solamente paquetes entrantes y salientes. Los paquetes pasantes que son enviados por otras 


computadoras en la LAN son ignorados


. 


    


(smac=00:00:21:0A:13:0E or smac=00:00:21:0A:13:0F) and etherproto=arp


 // 


Captura puertos ARP enviados por dos 


computadoras, 00:00:21:0A:13:0E y 00:00:21:0A:13:0F


. 


    


ipproto=udp and dport=137


 // 


Captura paquetes UDP/IP enviados al Puerto n mero 137


. 


    


dport=25 and


str( RCPT TO: ,  1, true)


 // 


Captura paquetes TCP/IP o UDP/IP que contengan " RCPT TO:" y donde el 


Puerto de destino es 25


. 


    


not (sport>110)


 // 


Capturar todo excepto los paquetes donde el Puerto de origen es mayor a 110


    


(sip=192.168.0.3 and dip=192.168.0.15)  or (sip=192.168.0.15 and dip=192.168.0.3)


 // 


Captura solamente los paquetes 


IP que estan siendo enviados entre las maquinas, 192.168.0.3 y 192.168.0.15. Todos los demas paquetes seran 


descartados.


    


((sip from 192.168.0.3 to 192.168.0.7) and (dip = 192.168.1.0/28)) and (flag=PA) and (size in 200..600)


 // 


Capturar los 


paquetes TCP cuyo tamano este entre 200 y 600 bytes provenientes de las direcciones IP cuyo rango sea 192.168.0.3 


192.168.0.7, cuya direccion IP de destino se encuentre en el segmento 192.168.0.1/255.255.255.240 , y cuando su 


indicador TCP es PSH ACK.  


    


Hex(0x0203, 89) and (dir<>in) 


// 


Capturar los paquetes que contienen 0x0203 y el desplazamiento 89, donde la 


direccion del paquete no sea entrante


. 








footer






  


 


 


        

 


 

  

    

      
      
 Home 
      | About Us | Network 
      | Services | Support 
      | FAQ | Control Panel 
      | Order Online |
      Sitemap | Contact

      

      espana web hosting

      
 

    

  

  




Our web partners:
Inexpensive 
Web Hosting 



Jsp Web Hosting


Jsp Web Hosting


Cheapest Web Hosting 


Java Web Hosting
 




 Quality Web Templates




Dreamweaver Web Templates


Frontpage Web Templates
 





Jsp Web Hosting


Cheapest Hosting


Cheapest Web Hosting


Java Web Hosting


Tomcat Web Hosting
 





Quality Web Hosting


Best Web Hosting


Java Web Hosting


Visionwebhosting.net Business web hosting division of Vision Web Hosting Inc.. All rights reserved