Mam aplikację, która komunikuje się z bazą danych Oracle, jej rejestrowanie jest dość kiepskie, więc jedynym sposobem na ćwiczenie tego, co SQL wysyła do naszej bazy danych, jest sniffowanie pakietów dla TNS.requests; Chcę filtrować te pakiety według tych, które zawierają nazwę konkretnej, tj. Na istnieniu określonego ciągu w pakiecie. Jak mogę to zrobić?
Dzięki.
Czy próbowałeś już operatorów „zawiera” lub „dopasowuje”? Na przykład,
tns.request and tns contains "Marshmallows"
lub po prostu
frame matches "(?i)marshmallows"
Pierwszy przykład szuka żądań TNS zawierających rozróżnianą wielkość liter „Marshmallows”. Drugi przykład szuka „pianek” w dowolnym miejscu w dowolnej ramce, ignorując wielkość liter. („zawiera” wykonuje proste dopasowywanie ciągów; „dopasowania” pozwala używać modyfikatorów PCRE).
Aktualizacja: W Wireshark 2.6 i nowszych „dopasowanie” domyślnie nie rozróżnia wielkości liter. Możesz użyć modyfikatora PCRE „(? -I)”, aby wymusić rozróżnianie wielkości liter.
Istnieje kilka interpretacji twojego pytania:
Używasz WireShark i chcesz przeprowadzić bardziej zaawansowane filtrowanie, aby lepiej analizować dane. w takim przypadku przeczytaj dokumenty . Możesz także zaprogramować filtry w Lua , jeśli potrzebujesz dodatkowej mocy ekspresji.
Chcesz odfiltrować te pakiety; tzn. zapora ogniowa na poziomie aplikacji lub NIDS . Sprawdź filtr L7 pod kątem zapory ogniowej / kształtowania lub Snort dla NIDS (myślę, że ten ostatni może również używać niektórych skryptów Lua)
Chcesz przechwytywać pakiety do logowania, tworzenia statystyk lub innych automatycznych zadań. sprawdź tcpdump / libpcap i / lub moje własne powiązanie libpcap dla Lua .
źródło