Ho un'applicazione che sta comunicando con un database Oracle, la sua registrazione è piuttosto scadente, quindi l'unico modo per allenarmi su ciò che SQL sta inviando al nostro database è sniffare i pacchetti per TNS.requests; Voglio filtrare questi pacchetti da quelli che contengono il nome di particolare cioè sull'esistenza di una stringa paricolare nel pacchetto. Come posso fare questo?
Grazie.
Risposte:
Hai provato gli operatori "contiene" o "corrispondenze"? Per esempio,
tns.request and tns contains "Marshmallows"
o semplicemente
frame matches "(?i)marshmallows"
Il primo esempio cerca le richieste TNS che contengono la stringa con distinzione tra maiuscole e minuscole "Marshmallows". Il secondo esempio cerca "marshmallows" ovunque in qualsiasi frame, ignorando il caso. ("contiene" esegue una semplice corrispondenza delle stringhe; "corrispondenze" consente di utilizzare i modificatori PCRE).
Aggiornamento: in Wireshark 2.6 e versioni successive le "corrispondenze" non fanno distinzione tra maiuscole e minuscole per impostazione predefinita. È possibile utilizzare il modificatore PCRE "(? -I)" per forzare la distinzione tra maiuscole e minuscole.
Esistono diverse interpretazioni della tua domanda:
Stai usando WireShark e vuoi fare un filtro più sofisticato per analizzare meglio i dati. in tal caso, leggi i documenti . Puoi anche programmare i filtri in Lua , se hai bisogno di ulteriore potere espressivo.
Vuoi filtrare quei pacchetti; vale a dire un firewall a livello di applicazione o NIDS . Controlla il filtro L7 per firewall / shaping o Snort per NIDS (quest'ultimo può anche usare alcuni script Lua, penso)
Vuoi acquisire pacchetti per accedere, creare statistiche o qualsiasi altra attività automatizzata. controlla tcpdump / libpcap e / o il mio legame libpcap per Lua .