Saya punya aplikasi yang berkomunikasi dengan database Oracle, logging-nya cukup jelek sehingga satu-satunya cara saya bisa mengetahui apa yang dikirimkan SQL ke database kami adalah dengan paket sniffing untuk TNS.requests; Saya ingin memfilter paket-paket ini oleh mereka yang berisi nama tertentu yaitu pada keberadaan string paricular dalam paket. Bagaimana saya bisa melakukan ini?
Terima kasih.
Jawaban:
Sudahkah Anda mencoba operator "berisi" atau "cocok"? Sebagai contoh,
tns.request and tns contains "Marshmallows"
atau sederhana
frame matches "(?i)marshmallows"
Contoh pertama mencari permintaan TNS yang berisi string peka huruf "Marshmallow". Contoh kedua mencari "marshmallow" di mana saja dalam bingkai apa pun, mengabaikan kasing. ("berisi" melakukan pencocokan string sederhana; "cocok" memungkinkan Anda menggunakan pengubah PCRE).
Pembaruan: Di Wireshark 2.6 dan yang lebih baru "cocok" tidak peka huruf besar-kecil. Anda dapat menggunakan pengubah PCRE "(? -I)" untuk memaksa sensitivitas case.
Ada beberapa interpretasi dari pertanyaan Anda:
Anda menggunakan WireShark dan ingin melakukan pemfilteran yang lebih canggih untuk menganalisis data dengan lebih baik. dalam hal ini, baca dokumen . Anda juga dapat memprogram filter di Lua , jika Anda membutuhkan daya ekspresif ekstra.
Anda ingin menyaring paket-paket itu; yaitu, firewall tingkat aplikasi atau NIDS . Periksa L7-filter untuk firewall / shaping, atau Snort untuk NIDS (yang terakhir juga dapat menggunakan beberapa skrip Lua, saya pikir)
Anda ingin mengambil paket untuk login, membuat statistik atau tugas otomatis lainnya. periksa tcpdump / libpcap dan / atau libpcap saya sendiri untuk Lua .