常用的filter
destination unreachable /Port unreachable
icmp.type==3 && icmp.code==3
过滤一个网段
ip.addr==157.166.0.0/16
高延时 (fin包和reset包是正常的)
tcp.time_delta > 1 && tcp.flags.fin==0 && tcp.flags.reset==0
handshake12 (可以过滤出三次握手前两次的包)
tcp.flags.syn==1
handshake23 (可以过滤出三次握手后两次的包)
(tcp.flags.syn==1 && tcp.flags.ack==1) || (tcp.seq==1 && tcp.ack==1) && tcp.len==0 && tcp.flags.fin==0
Bad tcp
tcp.analysis.flags && !tcp.analysis.window_update
网友评论