🔍 Interpretando Filtros Manuais
Parâmetros
any » Tudo, o mesmo que 0.0.0.0/0 e ::/0.
src » Origem.
dst » Destino.
proto » Protocolo de comunicação.(TCP, UDP, ICMP, ICMP6, GRE, etc).
ttl » Valor de Time-to-Live (TTL) do pacote, indicando quantos saltos ele ainda pode fazer antes de ser descartado.
port » Número da porta.
port in » Números das portas.
src port » Porta de origem.
dst port » Porta de destino.
src port in [range] » Lista de portas de origems.
dst port in [range] » Lista de portas de destinos.
Campos [range] você pode adicionar mais de um valor [ valor-1 valor-2 valor-3 ]
net » Prefixo de rede.
src net » Prefixo de rede de origem.
dst net » Prefixo de rede de destino.
ip » Endereço IP.
ip in [range] » Lista IPs.
src ip » Endereço IP de origem.
dst ip » Endereço IP de destino.
dst ip in [range] » Lista IPs de destino.
src ip in [range] » Lista IPs de destino.
as » AS (Sistema Autônomo).
as in [range] » Lista de AS.
src as » AS de origem.
dst as » AS de destino.
src as in [range] » Lista de AS de origens.
dst as in [range] » Lista de AS de destinos.
bgpnext ip » Próximo IP BGP. O próximo endereço IP no caminho BGP.
next ip » Próximo IP. O próximo endereço IP no caminho da rota.
if número » Interface. Identifica uma interface específica pelo seu número SNMP.
in if número » Interface de entrada.
out if número » Interface de saída.
nat ip » Endereço IP compartilhado.
src nat ip » Endereço IP de origem compartilhado.
dst nat ip » Endereço IP de destino compartilhado.
src nat port » Porta de origem compartilhada.
dst nat port » Porta de destino compartilhada.
src nat port in [range] » Lista de porta de origem compartilhada.
dst nat port in [range] » Lista de porta de destino compartilhada.
nat net » Prefixo de rede compartilhada.
src nat net » Prefixo de rede de origem compartilhada.
dst nat net » Prefixo de rede de destino compartilhada.
Operadores
Os operadores são usados para combinar ou modificar filtros para refinar a busca de dados:
AND» Operador lógico AND (E).NOT» Operador lógico NOT (NÃO).OR» Operador lógico OR (OU).
Exemplos
IP
ip 10.0.168.9
Filtra o tráfego pelo IP especificado, tanto em origem quanto em destino.
dst ip 10.0.168.9
Filtra o tráfego com destino ao IP especificado.
dst ip 2001:db8:bebe:cafe::9
Filtra o tráfego com destino ao endereço IPv6 especificado.
dst ip 10.0.168.9 OR dst ip 2001:db8:bebe:cafe::9
Filtra o tráfego com destino a qualquer um dos IPs especificados.
dst ip in [10.0.168.9 2001:db8:bebe:cafe::9]
Filtra o tráfego com destino a qualquer um dos IPs na lista especificada.
dst ip 10.0.168.9 AND dst port 443
Filtra tráfego para o IP 10.0.168.9 na porta de destino 443.
dst ip 10.0.168.9 AND port 443
Filtra tráfego para o IP 10.0.168.9 na porta 443, independente de ser porta de origem ou destino.
dst ip 10.0.168.9 AND (dst port 443 OR dst port 8080)
Filtra tráfego para o IP 10.0.168.9 nas portas de destino 443 ou 8080.
(dst ip 10.0.168.9 OR dst ip 2001:db8:bebe:cafe::9) AND (dst port 443 OR dst port 8080)
Filtra tráfego para os IPs 10.0.168.9 ou 2001:db8:bebe:cafe::9 nas portas de destino 443 ou 8080.
dst ip 10.0.168.9 AND dst port in [443 8080]
Filtra tráfego para o IP 10.0.168.9 nas portas de destino 443 ou 8080.
dst ip 10.0.168.9 AND dst port in [443 8080 25]
Filtra tráfego para o IP 10.0.168.9 nas portas de destino 443, 8080 ou 25.
dst ip 10.0.168.9 AND dst port <= 1024
Filtra tráfego para o IP 10.0.168.9 nas portas de destino menores ou iguais a 1024.
dst ip 10.0.168.9 AND dst port >= 0 AND dst port <= 1024
Filtra tráfego para o IP 10.0.168.9 em um range de portas de destino de 0 a 1024.
dst ip 10.0.168.18 AND dst port >= 8000 AND dst port <= 9000
Filtra tráfego para o IP 10.0.168.18 em um range de portas de destino de 8000 a 9000.
dst ip 10.0.168.2 AND proto UDP
Filtra tráfego para o IP 10.0.168.2 que usa o protocolo UDP.
dst ip 10.0.168.2 AND proto TCP
Filtra tráfego para o IP 10.0.168.2 que usa o protocolo TCP.
dst ip 10.0.168.2 AND dst port >= 0 AND dst port <= 1024 AND proto UDP
Filtra tráfego para o IP 10.0.168.2 nas portas de destino de 0 a 1024 que usa o protocolo UDP.
dst ip 10.0.168.27 AND proto ICMP
Filtra tráfego para o IP 10.0.168.27 que usa o protocolo ICMP.
NET
net 10.0.170.0/24
Filtra tráfego associado à rede 10.0.170.0/24.
dst net 10.0.170.0/24
Filtra tráfego com destino à rede 10.0.170.0/24.
src net 10.0.170.0/24
Filtra tráfego originado da rede 10.0.170.0/24.
(net 10.0.170.0/24 OR net 10.0.171.0/24)
Filtra tráfego associado às redes 10.0.170.0/24 ou 10.0.171.0/24.
dst net 10.0.170.0/24 AND proto ICMP
Filtra tráfego destinado à rede 10.0.170.0/24 usando o protocolo ICMP.
dst net 10.0.170.0/24 AND proto GRE
Filtra tráfego destinado à rede 10.0.170.0/24 usando o protocolo GRE.
dst net 10.0.168.0/21 AND proto UDP
Filtra tráfego destinado à rede 10.0.168.0/21 usando o protocolo UDP.
dst net 10.0.168.0/21 AND proto UDP AND not src port in [443]
Filtra tráfego destinado à rede 10.0.168.0/21 usando o protocolo UDP, excluindo tráfego de origem na porta 443.
dst ip 10.0.168.9 AND dst port 8080 AND proto TCP
Filtra tráfego destinado ao IP 10.0.168.9 na porta 8080 utilizando o protocolo TCP.
dst net 10.0.168.0/21 AND proto TCP AND not src port in [443 80]
Filtra tráfego destinado à rede 10.0.168.0/21 usando o protocolo TCP, excluindo tráfego originado nas portas 443 e 80.
dst net 10.0.170.0/24 AND proto ICMP
Filtra tráfego destinado à rede 10.0.170.0/24 utilizando o protocolo ICMP.
ICMP
dst net 10.0.170.0/24 AND proto ICMP AND icmp-type 8 AND icmp-code 0
Echo Request (ICMP tipo 8, código 0)
dst net 10.0.170.0/24 AND proto ICMP AND icmp-type 11
Time Exceeded (ICMP tipo 11)
Tipos de ICMP
0: Echo Reply: Resposta a um echo request (ping).3: Destination Unreachable: O destino não é alcançável, com códigos de 0 a 15 detalhando a razão.4: Source Quench: Pedido para reduzir a velocidade de envio de mensagens (obsoleto).5: Redirect: Instrui a mudança de rota, com códigos de 0 a 3.8: Echo Request: Usado para verificar a acessibilidade de um host (ping).9e10: Router Advertisement e Router Solicitation: Para descoberta automática de roteadores.11: Time Exceeded: O TTL de um pacote expirou, com códigos 0 e 1.12: Parameter Problem: Problema nos parâmetros, com códigos de 0 a 2.13e14: Timestamp e Timestamp Reply: Para sincronização de tempo.
Códigos de ICMP
0: Rede inalcançável.1: Host inalcançável.2: Protocolo inalcançável.3: Porta inalcançável.4: Fragmentação necessária e DF marcado.5: Falha no roteamento de origem.
Duração da Conexão
Os valores de duração são expressas em milissegundos. Abaixo estão alguns exemplos de conversões de duração:
50000: 5 segundos100000: 10 segundos150000: 15 segundos300000: 30 segundos600000: 1 minuto1200000: 2 minutos3000000: 5 minutos
Para filtrar conexões baseadas em sua duração, você pode usar o parâmetro duration. Por exemplo:
duration >= 60000
Filtrar conexões que duram pelo menos 1 minuto:
dst ip 10.0.168.9 AND dst port 8080 AND proto TCP AND duration >= 60000
Filtrar tráfego para o IP 10.0.168.9 na porta 8080 usando TCP que dura pelo menos 1 minuto
ASN (Sistema Autônomo)
Exemplos de filtros baseados em ASN:
as 15169
Filtra tráfego associado ao ASN 15169 (Google).
src as 15169
Filtra tráfego originado do ASN 15169.
dst as 15169 OR dst as 36040 OR dst as 396982
Filtra tráfego destinado a qualquer um dos ASNs especificados.
dst as in [15169 36040 396982]
Filtra tráfego destinado a uma lista de ASNs.
dst as >= 13335 AND dst as <= 15169
Filtra tráfego destinado a ASNs dentro de um intervalo específico.
Bytes (Transferências de Dados)
Exemplos de filtros para identificar transferências de dados significativas:
proto TCP AND dst port 80 AND bytes > 1M
proto TCP AND dst port 80 AND bytes > 1048576
Tráfego TCP para a porta 80 com transferências superiores a 1MB.
proto TCP AND dst port 80 AND bytes > 10M
proto TCP AND dst port 80 AND bytes > 10485760
Tráfego TCP para a porta 80 com transferências superiores a 10MB.
proto TCP AND dst port 80 AND bytes > 100M
proto TCP AND dst port 80 AND bytes > 104857600
Tráfego TCP para a porta 80 com transferências superiores a 100MB.
proto TCP AND dst port in [80 443] AND bytes > 100M
proto TCP AND dst port in [80 443] AND bytes > 104857600
Tráfego TCP para as portas 80 e 443 com transferências superiores a 100MB.
proto TCP AND dst port in [80 443] AND bytes > 500M
proto TCP AND dst port in [80 443] AND bytes > 524288000
Tráfego TCP para as portas 80 e 443 com transferências superiores a 500MB.
proto TCP AND dst port in [80 443] AND bytes > 1G
proto TCP AND dst port in [80 443] AND bytes > 1073741824
Tráfego TCP para as portas 80 e 443 com transferências superiores a 1GB.
Identificação de grandes transferências de dados de sua rede:
src net 10.0.168.0/21 AND proto TCP AND bytes > 500M AND duration > 50000
Grandes transferências de dados (> 500MB) da rede 10.0.168.0/21 com duração superior a 50 segundos.
(src net 10.0.168.0/21 OR src net 10.5.220.0/22 OR src net 10.186.204.0/22 OR src net 2001:db8::/32) AND proto TCP AND bytes > 524288000 AND duration > 50000
Grandes transferências de dados (> 500MB) saindo de múltiplas redes, com duração superior a 50 segundos.
src net 10.0.168.0/21 AND proto UDP AND not dst port in [53 123 161] AND bytes < 200
Tráfego UDP de saída da rede 10.0.168.0/21 para portas não comuns com pequenos payloads, possível indicador de atividade maliciosa ou de reconhecimento.
Flags TCP
As flags TCP são utilizadas para controlar o estado de uma conexão e são críticas para a análise do comportamento da rede:
S(SYN): Inicia uma conexão TCP.A(ACK): Confirma o recebimento de dados.F(FIN): Indica o término do envio de dados.R(RST): Reinicia a conexão TCP de forma abrupta.P(PSH): Solicita que os dados sejam enviados imediatamente.U(URG): Indica que os dados no pacote são urgentes.X: Todas as flags ativadas (representação para diagnóstico ou testes).
flags S
Início de uma conexão TCP.
flags SA
Estabelecimento de uma conexão TCP.
flags PA
Envio de dados em uma conexão estabelecida.
flags FA
Finalização de uma conexão estabelecida.
flags S AND not flags AFRPU
Sintaxe para obter fluxos com apenas a flag SYN ativada.
flags S AND not flags AFRPU AND dst port 22
Detecção de varredura SYN na porta SSH.
flags S AND not flags AFRPU AND dst port 22 AND dst net 10.0.170.0/24
Filtro para varredura SYN em SSH para a rede 10.0.170.0/24.
flags S AND not flags AFRPU AND dst port in [22 23 80 443] AND dst net 10.0.170.0/24
Detecção de varredura SYN nas portas 22, 23, 80, 443 na rede 10.0.170.0/24.
flags S AND not flags AFRPU AND dst port in [22 23 80 443] AND dst net 10.0.170.0/24 bytes > 98304
Detecção de tráfego com flags SYN em certas portas e com mais de 96KB de dados.
flags RA AND dst net 10.0.168.0/21
Identificação de encerramento abrupto de conexões na rede 10.0.168.0/21.
xip 249.0.0.200 and src xport >= 1000 and src xport <= 2000
Identificando um IP compartilhado com range de porta entre 1000 e 2000.
Outros
Aqui vai mais alguns exemplos ótimo para vôce configurar no data_traffic_analysis.json e criar gatilhos
proto UDP and (port 80 or port 443)
Tráfego QUIC+DoH
proto UDP and (port 80 or port 443) and not (ip 8.8.8.8 or ip 8.8.4.4 or ip 1.1.1.1 or ip 1.0.0.1 or ip 9.9.9.9 or ip 149.112.112.112 or ip 208.67.222.222 or ip 208.67.220.220 or ip 94.140.14.14 or ip 94.140.15.15 or ip 185.228.168.9 or ip 185.228.169.9 or ip 76.76.19.19 or ip 76.223.122.150 or ip 8.26.56.26 or ip 8.20.247.20 or ip 77.88.8.8 or ip 77.88.8.1 or ip 64.6.64.6 or ip 64.6.65.6 or ip 84.200.69.80 or ip 84.200.70.40 or ip 195.46.39.39 or ip 195.46.39.40 or ip 91.239.100.100 or ip 89.233.43.71 or ip 76.76.2.0 or ip 76.76.10.0 or ip 1.1.1.2 or ip 1.0.0.2 or ip 1.1.1.3 or ip 1.0.0.3 or ip 208.67.222.123 or ip 208.67.220.123 or ip 185.228.168.168 or ip 185.228.169.168 or ip 2001:4860:4860::8888 or ip 2001:4860:4860::8844 or ip 2606:4700:4700::1111 or ip 2606:4700:4700::1001 or ip 2620:fe::fe or ip 2620:fe::9 or ip 2620:119:35::35 or ip 2620:119:53::53 or ip 2a10:50c0::1:ff or ip 2a10:50c0::2:ff or ip 2a0d:2a00:1::2 or ip 2a0d:2a00:2::2 or ip 2602:fcbc::ad or ip 2602:fcbc::ad1 or ip 2a02:6b8::feed:0ff or ip 2a02:6b8:0:1::feed:0ff or ip 2620:74:1b::1:1 or ip 2620:74:1c::2:2 or ip 2001:1608:10:25::1c04:b12f or ip 2001:1608:10:25::9249:d69b or ip 2001:67c:28a4:: or ip 2a01:3a0:53:53:: or ip 2606:4700:4700::1112 or ip 2606:4700:4700::1002 or ip 2606:4700:4700::1113 or ip 2606:4700:4700::1003 or ip 2a0d:2a00:1::168 or ip 2a0d:2a00:2::168)
Tráfego DoH (DNS over HTTPS Público)
proto UDP and (port 80 or port 443) and (ip 8.8.8.8 or ip 8.8.4.4 or ip 1.1.1.1 or ip 1.0.0.1 or ip 9.9.9.9 or ip 149.112.112.112 or ip 208.67.222.222 or ip 208.67.220.220 or ip 94.140.14.14 or ip 94.140.15.15 or ip 185.228.168.9 or ip 185.228.169.9 or ip 76.76.19.19 or ip 76.223.122.150 or ip 8.26.56.26 or ip 8.20.247.20 or ip 77.88.8.8 or ip 77.88.8.1 or ip 64.6.64.6 or ip 64.6.65.6 or ip 84.200.69.80 or ip 84.200.70.40 or ip 195.46.39.39 or ip 195.46.39.40 or ip 91.239.100.100 or ip 89.233.43.71 or ip 76.76.2.0 or ip 76.76.10.0 or ip 1.1.1.2 or ip 1.0.0.2 or ip 1.1.1.3 or ip 1.0.0.3 or ip 208.67.222.123 or ip 208.67.220.123 or ip 185.228.168.168 or ip 185.228.169.168 or ip 2001:4860:4860::8888 or ip 2001:4860:4860::8844 or ip 2606:4700:4700::1111 or ip 2606:4700:4700::1001 or ip 2620:fe::fe or ip 2620:fe::9 or ip 2620:119:35::35 or ip 2620:119:53::53 or ip 2a10:50c0::1:ff or ip 2a10:50c0::2:ff or ip 2a0d:2a00:1::2 or ip 2a0d:2a00:2::2 or ip 2602:fcbc::ad or ip 2602:fcbc::ad1 or ip 2a02:6b8::feed:0ff or ip 2a02:6b8:0:1::feed:0ff or ip 2620:74:1b::1:1 or ip 2620:74:1c::2:2 or ip 2001:1608:10:25::1c04:b12f or ip 2001:1608:10:25::9249:d69b or ip 2001:67c:28a4:: or ip 2a01:3a0:53:53:: or ip 2606:4700:4700::1112 or ip 2606:4700:4700::1002 or ip 2606:4700:4700::1113 or ip 2606:4700:4700::1003 or ip 2a0d:2a00:1::168 or ip 2a0d:2a00:2::168)
Tráfego QUIC (UDP Web sem DNS)
TCP proto TCP
Tráfego TCP
proto UDP
Tráfego UDP
SYN flags S
Tráfego SYN
flags S and not flags A
Tráfego TCP SYN Sem Resposta
flags A and flags S
Tráfego TCP SYN+ACK
SYN flags S
Tráfego TCP SYN
flags R
Tráfego de Pacotes TCP Reset (RST)
flags A and not flags S
Tráfego TCP ACK Sessões Ativas
proto UDP and not (port 80 or port 443)
Tráfego UDP Geral (exceto Web)
DNS port 53
Tráfego DNS
(proto TCP and port 0) or (proto UDP and port 0)
Tráfego Anômalo Porta 0 (TCP/UDP)
proto GRE or proto L2TP or proto ESP or proto AH
Tráfego de Túneis
proto ESP or proto AH
Tráfego IPsec
proto ICMP or proto ICMP6
Tráfego ICMP
proto TCP and port 80
Tráfego HTTP
proto TCP and port 443
Tráfego HTTPS
proto TCP and (port 25 or port 110 or port 143 or port 465 or port 585 or port 587 or port 993 or port 995)
Tráfego de E-Mails
proto TCP and (port 80 or port 443)
Tráfego Web (HTTP/HTTPS)
proto TCP and port 22
Tráfego SSH
port 5060
Tráfego VoIP SIP
proto UDP and port 123
Tráfego de Horário de Rede (NTP)
proto UDP and (port 161 or port 162)
Tráfego Monitoramento SNMP
port 3389
Tráfego de Conexões Desktop Remoto (RDP)
proto UDP and port 1900
Tráfego UPnP (SSDP)
proto TCP and port 139
Tráfego compartilhamento de Arquivos (NetBIOS)
proto UDP and port 11211 and bytes > 1400
Tráfego de Amplificação Memcached
port 19
Tráfego Amplificação Chargen
proto TCP and port 389
Autenticação LDAP
proto UDP and port 389
Consultas LDAP (UDP)
in if 87 and not flags S and not flags AFRPU and (proto tcp or proto udp) and not port in [80 443]
not flags S and not flags AFRPU and (proto tcp or proto udp) and not port in [80 443]
Filtro de tráfego TCP/UDP excluindo portas 80 e 443, sem pacotes SYN e flags de controle, focado em identificar possíveis ataques fora de tráfego web.
dst ip in [1.1.1.1, 8.8.8.8, 8.8.4.4, 1.0.0.1] AND dst port 53 AND proto UDP
Filtra tráfego destinado aos servidores DNS da Google (8.8.8.8, 8.8.4.4) e Cloudflare (1.1.1.1, 1.0.0.1) na porta 53 utilizando UDP.
dst as in [13335, 15169] AND dst port 53 AND proto UDP
Filtra tráfego destinado aos ASNs 13335 (Cloudflare) e 15169 (Google) na porta 53 utilizando UDP.
dst net 10.0.170.0/24 AND dst port 0
Identifica tráfego destinado à rede 10.0.170.0/24 na porta 0, incomum para comunicação regular.
dst net 10.0.170.0/24 AND dst port 0 AND not proto GRE
Filtra tráfego destinado à rede 10.0.170.0/24 na porta 0, excluindo o protocolo GRE.
dst net 10.0.168.0/21 AND dst port 0 AND not proto GRE AND not proto ICMP
Filtra tráfego destinado à rede 10.0.168.0/21 na porta 0, excluindo os protocolos GRE e ICMP, indicando atividade potencialmente suspeita ou não convencional.
ASN Reservadors
| ASN | Desc. | RFC |
|---|---|---|
| 0 | RESERVED BY | RFC7607 |
| 23456 | AS_TRANS | RFC6793 |
| 64496-64511 | FOR DOCUMENTATION AND SAMPLE CODE | RFC5398 |
| 64512-65534 | FOR PRIVATE USE | RFC6996 |
| 65535 | RESERVED | RFC7300 |
| 65536-65551 | FOR DOCUMENTATION AND SAMPLE CODE | RFC5398 |
| 4200000000-4294967294 | FOR PRIVATE USE | RFC6996 |
| 4294967295 | RESERVED | RFC7300 |
| 65552-157371 | IANA RESERVED ASNS | - |
Protocolos
| Nº | Keyword | Protocol |
|---|---|---|
| 0 | HOPOPT | IPv6 Hop-by-Hop Option |
| 1 | ICMP | Internet Control Message Protocol |
| 2 | IGMP | Internet Group Management Protocol |
| 3 | GGP | Gateway-to-Gateway Protocol |
| 4 | IP-in-IP | IP in IP (encapsulation) |
| 5 | ST | Internet Stream Protocol |
| 6 | TCP | Transmission Control Protocol |
| 7 | CBT | Core-based trees |
| 8 | EGP | Exterior Gateway Protocol |
| 9 | IGP | Interior gateway protocol (any private interior gateway, for example Cisco’s IGRP) |
| 10 | BBN-RCC-MON | BBN RCC Monitoring |
| 11 | NVP-II | Network Voice Protocol |
| 12 | PUP | Xerox PUP |
| 13 | ARGUS | ARGUS |
| 14 | EMCON | EMCON |
| 15 | XNET | Cross Net Debugger |
| 16 | CHAOS | Chaos |
| 17 | UDP | User Datagram Protocol |
| 18 | MUX | Multiplexing |
| 19 | DCN-MEAS | DCN Measurement Subsystems |
| 20 | HMP | Host Monitoring Protocol |
| 21 | PRM | Packet Radio Measurement |
| 22 | XNS-IDP | XEROX NS IDP |
| 23 | TRUNK-1 | Trunk-1 |
| 24 | TRUNK-2 | Trunk-2 |
| 25 | LEAF-1 | Leaf-1 |
| 26 | LEAF-2 | Leaf-2 |
| 27 | RDP | Reliable Data Protocol |
| 28 | IRTP | Internet Reliable Transaction Protocol |
| 29 | ISO-TP4 | ISO Transport Protocol Class 4 |
| 30 | NETBLT | Bulk Data Transfer Protocol |
| 31 | MFE-NSP | MFE Network Services Protocol |
| 32 | MERIT-INP | MERIT Internodal Protocol |
| 33 | DCCP | Datagram Congestion Control Protocol |
| 34 | 3PC | Third Party Connect Protocol |
| 35 | IDPR | Inter-Domain Policy Routing Protocol |
| 36 | XTP | Xpress Transport Protocol |
| 37 | DDP | Datagram Delivery Protocol |
| 38 | IDPR-CMTP | IDPR Control Message Transport Protocol |
| 39 | TP++ | TP++ Transport Protocol |
| 40 | IL | IL Transport Protocol |
| 41 | IPv6 | IPv6 Encapsulation (6to4 and 6in4) |
| 42 | SDRP | Source Demand Routing Protocol |
| 43 | IPv6-Route | Routing Header for IPv6 |
| 44 | IPv6-Frag | Fragment Header for IPv6 |
| 45 | IDRP | Inter-Domain Routing Protocol |
| 46 | RSVP | Resource Reservation Protocol |
| 47 | GRE | Generic Routing Encapsulation |
| 48 | DSR | Dynamic Source Routing Protocol |
| 49 | BNA | Burroughs Network Architecture |
| 50 | ESP | Encapsulating Security Payload |
| 51 | AH | Authentication Header |
| 52 | I-NLSP | Integrated Net Layer Security Protocol |
| 53 | SwIPe | SwIPe |
| 54 | NARP | NBMA Address Resolution Protocol |
| 55 | MOBILE | IP Mobility (Min Encap) |
| 56 | TLSP | Transport Layer Security Protocol (using Kryptonet key management) |
| 57 | SKIP | Simple Key-Management for Internet Protocol |
| 58 | IPv6-ICMP | ICMP for IPv6 |
| 59 | IPv6-NoNxt | No Next Header for IPv6 |
| 60 | IPv6-Opts | Destination Options for IPv6 |
| 61 | Any host internal protocol | |
| 62 | CFTP | CFTP |
| 63 | Any local network | |
| 64 | SAT-EXPAK | SATNET and Backroom EXPAK |
| 65 | KRYPTOLAN | Kryptolan |
| 66 | RVD | MIT Remote Virtual Disk Protocol |
| 67 | IPPC | Internet Pluribus Packet Core |
| 68 | Any distributed file system | |
| 69 | SAT-MON | SATNET Monitoring |
| 70 | VISA | VISA Protocol |
| 71 | IPCU | Internet Packet Core Utility |
| 72 | CPNX | Computer Protocol Network Executive |
| 73 | CPHB | Computer Protocol Heart Beat |
| 74 | WSN | Wang Span Network |
| 75 | PVP | Packet Video Protocol |
| 76 | BR-SAT-MON | Backroom SATNET Monitoring |
| 77 | SUN-ND | SUN ND PROTOCOL-Temporary |
| 78 | WB-MON | WIDEBAND Monitoring |
| 79 | WB-EXPAK | WIDEBAND EXPAK |
| 80 | ISO-IP | International Organization for Standardization Internet Protocol |
| 81 | VMTP | Versatile Message Transaction Protocol |
| 82 | SECURE-VMTP | Secure Versatile Message Transaction Protocol |
| 83 | VINES | VINES |
| 84 | TTP | TTP (Transaction Transport Protocol) (obsoleted March 2023) |
| 84 | IPTM | Internet Protocol Traffic Manager |
| 85 | NSFNET-IGP | NSFNET-IGP |
| 86 | DGP | Dissimilar Gateway Protocol |
| 87 | TCF | TCF |
| 88 | EIGRP | EIGRP |
| 89 | OSPF | Open Shortest Path First |
| 90 | Sprite-RPC | Sprite RPC Protocol |
| 91 | LARP | Locus Address Resolution Protocol |
| 92 | MTP | Multicast Transport Protocol |
| 93 | AX.25 | AX.25 |
| 94 | OS | KA9Q NOS compatible IP over IP tunneling |
| 95 | MICP | Mobile Internetworking Control Protocol |
| 96 | SCC-SP | Semaphore Communications Sec. Pro |
| 97 | ETHERIP | Ethernet-within-IP Encapsulation |
| 98 | ENCAP | Encapsulation Header |
| 99 | Any private encryption scheme | |
| 100 | GMTP | GMTP |
| 101 | IFMP | Ipsilon Flow Management Protocol |
| 102 | PNNI | PNNI over IP |
| 103 | PIM | Protocol Independent Multicast |
| 104 | ARIS | IBM’s ARIS (Aggregate Route IP Switching) Protocol |
| 105 | SCPS | SCPS (Space Communications Protocol Standards) |
| 106 | QNX | QNX |
| 107 | A/N | Active Networks |
| 108 | IPComp | IP Payload Compression Protocol |
| 109 | SNP | Sitara Networks Protocol |
| 110 | Compaq-Peer | Compaq Peer Protocol |
| 111 | IPX-in-IP | IPX in IP |
| 112 | VRRP | Virtual Router Redundancy Protocol, Common Address Redundancy Protocol (not IANA assigned) |
| 113 | PGM | PGM Reliable Transport Protocol |
| 114 | Any 0-hop protocol | |
| 115 | L2TP | Layer Two Tunneling Protocol Version 3 |
| 116 | DDX | D-II Data Exchange (DDX) |
| 117 | IATP | Interactive Agent Transfer Protocol |
| 118 | STP | Schedule Transfer Protocol |
| 119 | SRP | SpectraLink Radio Protocol |
| 120 | UTI | Universal Transport Interface Protocol |
| 121 | SMP | Simple Message Protocol |
| 122 | SM | Simple Multicast Protocol |
| 123 | PTP | Performance Transparency Protocol |
| 124 | IS-IS over IPv4 | Intermediate System to Intermediate System (IS-IS) Protocol over IPv4 |
| 125 | FIRE | Flexible Intra-AS Routing Environment |
| 126 | CRTP | Combat Radio Transport Protocol |
| 127 | CRUDP | Combat Radio User Datagram |
| 128 | SSCOPMCE | Service-Specific Connection-Oriented Protocol in a Multilink and Connectionless Environment |
| 129 | IPLT | |
| 130 | SPS | Secure Packet Shield |
| 131 | PIPE | Private IP Encapsulation within IP |
| 132 | SCTP | Stream Control Transmission Protocol |
| 133 | FC | Fibre Channel |
| 134 | RSVP-E2E-IGNORE | Reservation Protocol (RSVP) End-to-End Ignore |
| 135 | Mobility Header | Mobility Extension Header for IPv6 |
| 136 | UDPLite | Lightweight User Datagram Protocol |
| 137 | MPLS-in-IP | Multiprotocol Label Switching Encapsulated in IP |
| 138 | manet | MANET Protocols |
| 139 | HIP | Host Identity Protocol |
| 140 | Shim6 | Site Multihoming by IPv6 Intermediation |
| 141 | WESP | Wrapped Encapsulating Security Payload |
| 142 | ROHC | Robust Header Compression |
| 143 | Ethernet | Segment Routing over IPv6 |
| 144 | AGGFRAG | AGGFRAG Encapsulation Payload for ESP |
| 145 | NSH Network Service Header |