wireshark는 문자열을 검사하는 contains와 matches 옵션을 제공한다.
검색어 http contains get은 http 프로토콜 데이터에서 get 문자열이 포함된 패킷만을 검색한다. 이때 contains 옵션은 순수 문자열 검사만 가능하며, 대소문자를 구분한다. 대소문자를 구분하지 않고 검색하려면 검색어가 복잡해진다는 얘기.
http contains get or http contains Get or http contains gEt or http contains geT or http contains GEt or http contains gET or http contains GeT or http contains GET정규표현식을 지원하는 matches
matches 옵션 역시 대소문자를 구분한다. 하지만 수정자 i(insensitive)를 이용하면 간단하게 대소문자 구분을 해제할 수 있음.
그런데 언제부턴가 insensitive 수정자가 기본 적용되더라. 2.6 버전 이후 바뀌었다고. 자꾸 까먹어서 기록
참고로 wireshark의 contains, matches 옵션은 각각 snort의 content, pcre와 기능이 똑같다. snort 태생이 (wireshark와 똑같은) 트래픽 분석기라 그럴 수밖에 없음. 그래서 샘플 패킷만 있으면 wireshark로도 웬만한 snort 룰 테스트는 다 해볼 수 있다.
관련 글
댓글 없음:
댓글 쓰기