Sommario | Attacco | Crittologia | GnuPG/PGP | Programmazione | Sicurezza | Modifiche

 
   

Sommario / Attacco / Strumenti / Ethereal /

 

 

  


Filtri

Il prodotto consente l'utilizzo di due diverse tipologie di filtri, quelli a livello di visualizzazione e quelli usati durante la fase di cattura. Ma mentre i primi, offrono all'utente uno strumento che ne facilitata la realizzazione, i secondi si affidano completamente alle conoscenze che ha l'operatore del relativo linguaggio di creazione.

La logica dei filtri di cattura prevede che l'assenza di una espressione filtro implichi che tutti i pacchetti vengano catturati mentre la presenza di una espressione limita la cattura ai soli pacchetti corrispondenti ai requisiti richiesti.

Il linguaggio utilizzato deriva dalla sintassi 'Berkeley packet filter':

 

tipo: host, net, port
direzione: src, dst, src or dst, src and dst
protocollo: ether, ip, tcp, udp, arp, rarp
operatori logici: and, or, not
dst host <destinazione> il campo destinazione del pacchetto equivale a <destinazione>
src host <sorgente> il campo sorgente del pacchetto equivale a <sorgente>
host <sistema> la sorgente o la destinazione del pacchetto corrispondono a <sistema>
ether dst <indirizzo> l'indirizzo ethernet di destinazione è uguale a <indirizzo>
ether host <indirizzo> l'indirizzo ethernet sorgente o quello di destinazione corrisponde a <indirizzo>
gateway <sistema> il pacchetto ha utilizzato <sistema> come gateway
dst net <rete> l'indirizzo destinazione del pacchetto ha una indirizzo di rete equivalente a <rete>
src net <rete> l'indirizzo sorgente del pacchetto ha un indirizzo di rete equivalente a <rete>
net <rete> l'indirizzo sorgente o l'indirizzo destinazione ha un indirizzo di rete uguale a <rete>
net <rete> mask <maschera> l'indirizzo IP ha un indirizzo di rete corrispondente a <rete> ed una netmask equivalente a <maschera>.
dst port <porta> il pacchetto è di tipo ip/tcp oppure ip/udp ed è destinato alla porta con valore uguale a <porta>
src port <porta> il pacchetto ha come porta origine il valore <porta>
port <porta> la porta sorgente o quella di destinazione equivalgono al valore <porta>
tcp src port <porta> il pacchetto tcp ha un numero di porta uguale a <porta>
less <lunghezza> il pacchetto ha una lunghezza inferiore o uguale a <lunghezza>. E' equivalente all'espressione len <= <lunghezza>
greater <lunghezza> il pacchetto ha una lunghezza maggiore o uguale a <lunghezza>. E' equivalente all'espressione len >= <lunghezza>
ip proto <protocollo> il pacchetto è un pacchetto IP di protocollo uguale a <protocollo>. Protocollo può essere uguale a \tcp, \udp, \icmp, ecc.
ether broadcast il pacchetto è di tipo ethernet broadcast
ip broadcast il pacchetto è di tipo IP broadcast
ether multicast il pacchetto è di tipo ethernet multicast
ip multicast il pacchetto è di tipo IP multicast
ether proto <protocollo> il pacchetto è di tipo ethernet con protocollo uguale a <protocollo>. Protocollo può essere uguale a \ip, \ip6, \arp, \rarp, ecc.
Negazione ('!' oppure 'not')
Concatenazione ('&&' oppure 'and')
Alternativa ('||' oppure 'or')
Esempio:
Catturare tutto il traffico SMTP da e verso il sistema 192.168.0.1:
tcp port 25 and host 192.168.0.1

Questa è solo una breve introduzione a quelle che sono le caratteristiche della sintassi utilizzata. Maggiori informazioni sono disponibili all'interno della documentazione (man) del programma tcpdump.

 
     
     

 		  

Copyright © 1998 - 2009 Antonio Magrì - Tutti i diritti riservati. Contatto.