🔍 Interpretando Filtros Manuais
Parâmetros
any » Tudo, o mesmo que 0.0.0.0/0 e ::/0.
src » Origem.
dst » Destino.
proto » Protocolo de comunicação.(TCP, UDP, ICMP, ICMP6, GRE, etc).
ttl » Valor de Time-to-Live (TTL) do pacote, indicando quantos saltos ele ainda pode fazer antes de ser descartado.
port » Número da porta.
port in » Números das portas.
src port » Porta de origem.
dst port » Porta de destino.
src port in » Lista portas de origems.
dst port in » Lista portas de destinos.
src xport » Porta de origem compartilhada.
dst xport » Porta de destino compartilhada.
net » Prefixo de rede.
src net » Prefixo de rede de origem.
dst net » Prefixo de rede de destino.
ip » Endereço IP.
ip in » Lista IPs.
src ip » Endereço IP de origem.
dst ip » Endereço IP de destino.
dst ip in » Lista IPs de destino.
src ip in » Lista IPs de destino.
as » AS (Sistema Autônomo).
as in » Lista de AS.
src as » AS de origem.
dst as » AS de destino.
src as in » Lista de AS de origens.
dst as in » Lista de AS de destinos.
bgpnext ip » Próximo IP BGP. O próximo endereço IP no caminho BGP.
next ip » Próximo IP. O próximo endereço IP no caminho da rota.
if número » Interface. Identifica uma interface específica pelo seu número SNMP.
in if número » Interface de entrada.
out if número » Interface de saída.
xip » Endereço IP compartilhado.
src xip » Endereço IP de origem compartilhado.
dst xip » Endereço IP de destino compartilhado.
Operadores
Os operadores são usados para combinar ou modificar filtros para refinar a busca de dados:
AND» Operador lógico AND (E).NOT» Operador lógico NOT (NÃO).OR» Operador lógico OR (OU).
Exemplos
IP
ip 10.0.168.9
Filtra o tráfego pelo IP especificado, tanto em origem quanto em destino.
dst ip 10.0.168.9
Filtra o tráfego com destino ao IP especificado.
dst ip 2001:db8:bebe:cafe::9
Filtra o tráfego com destino ao endereço IPv6 especificado.
dst ip 10.0.168.9 OR dst ip 2001:db8:bebe:cafe::9
Filtra o tráfego com destino a qualquer um dos IPs especificados.
dst ip in [10.0.168.9 2001:db8:bebe:cafe::9]
Filtra o tráfego com destino a qualquer um dos IPs na lista especificada.
dst ip 10.0.168.9 AND dst port 443
Filtra tráfego para o IP 10.0.168.9 na porta de destino 443.
dst ip 10.0.168.9 AND port 443
Filtra tráfego para o IP 10.0.168.9 na porta 443, independente de ser porta de origem ou destino.
dst ip 10.0.168.9 AND (dst port 443 OR dst port 8080)
Filtra tráfego para o IP 10.0.168.9 nas portas de destino 443 ou 8080.
(dst ip 10.0.168.9 OR dst ip 2001:db8:bebe:cafe::9) AND (dst port 443 OR dst port 8080)
Filtra tráfego para os IPs 10.0.168.9 ou 2001:db8:bebe:cafe::9 nas portas de destino 443 ou 8080.
dst ip 10.0.168.9 AND dst port in [443 8080]
Filtra tráfego para o IP 10.0.168.9 nas portas de destino 443 ou 8080.
dst ip 10.0.168.9 AND dst port in [443 8080 25]
Filtra tráfego para o IP 10.0.168.9 nas portas de destino 443, 8080 ou 25.
dst ip 10.0.168.9 AND dst port <= 1024
Filtra tráfego para o IP 10.0.168.9 nas portas de destino menores ou iguais a 1024.
dst ip 10.0.168.9 AND dst port >= 0 AND dst port <= 1024
Filtra tráfego para o IP 10.0.168.9 em um range de portas de destino de 0 a 1024.
dst ip 10.0.168.18 AND dst port >= 8000 AND dst port <= 9000
Filtra tráfego para o IP 10.0.168.18 em um range de portas de destino de 8000 a 9000.
dst ip 10.0.168.2 AND proto UDP
Filtra tráfego para o IP 10.0.168.2 que usa o protocolo UDP.
dst ip 10.0.168.2 AND proto TCP
Filtra tráfego para o IP 10.0.168.2 que usa o protocolo TCP.
dst ip 10.0.168.2 AND dst port >= 0 AND dst port <= 1024 AND proto UDP
Filtra tráfego para o IP 10.0.168.2 nas portas de destino de 0 a 1024 que usa o protocolo UDP.
dst ip 10.0.168.27 AND proto ICMP
Filtra tráfego para o IP 10.0.168.27 que usa o protocolo ICMP.
NET
net 10.0.170.0/24
Filtra tráfego associado à rede 10.0.170.0/24.
dst net 10.0.170.0/24
Filtra tráfego com destino à rede 10.0.170.0/24.
src net 10.0.170.0/24
Filtra tráfego originado da rede 10.0.170.0/24.
(net 10.0.170.0/24 OR net 10.0.171.0/24)
Filtra tráfego associado às redes 10.0.170.0/24 ou 10.0.171.0/24.
dst net 10.0.170.0/24 AND proto ICMP
Filtra tráfego destinado à rede 10.0.170.0/24 usando o protocolo ICMP.
dst net 10.0.170.0/24 AND proto GRE
Filtra tráfego destinado à rede 10.0.170.0/24 usando o protocolo GRE.
dst net 10.0.168.0/21 AND proto UDP
Filtra tráfego destinado à rede 10.0.168.0/21 usando o protocolo UDP.
dst net 10.0.168.0/21 AND proto UDP AND not src port in [443]
Filtra tráfego destinado à rede 10.0.168.0/21 usando o protocolo UDP, excluindo tráfego de origem na porta 443.
dst ip 10.0.168.9 AND dst port 8080 AND proto TCP
Filtra tráfego destinado ao IP 10.0.168.9 na porta 8080 utilizando o protocolo TCP.
dst net 10.0.168.0/21 AND proto TCP AND not src port in [443 80]
Filtra tráfego destinado à rede 10.0.168.0/21 usando o protocolo TCP, excluindo tráfego originado nas portas 443 e 80.
dst net 10.0.170.0/24 AND proto ICMP
Filtra tráfego destinado à rede 10.0.170.0/24 utilizando o protocolo ICMP.
ICMP
dst net 10.0.170.0/24 AND proto ICMP AND icmp-type 8 AND icmp-code 0
Echo Request (ICMP tipo 8, código 0)
dst net 10.0.170.0/24 AND proto ICMP AND icmp-type 11
Time Exceeded (ICMP tipo 11)
Tipos de ICMP
0: Echo Reply: Resposta a um echo request (ping).3: Destination Unreachable: O destino não é alcançável, com códigos de 0 a 15 detalhando a razão.4: Source Quench: Pedido para reduzir a velocidade de envio de mensagens (obsoleto).5: Redirect: Instrui a mudança de rota, com códigos de 0 a 3.8: Echo Request: Usado para verificar a acessibilidade de um host (ping).9e10: Router Advertisement e Router Solicitation: Para descoberta automática de roteadores.11: Time Exceeded: O TTL de um pacote expirou, com códigos 0 e 1.12: Parameter Problem: Problema nos parâmetros, com códigos de 0 a 2.13e14: Timestamp e Timestamp Reply: Para sincronização de tempo.
Códigos de ICMP
0: Rede inalcançável.1: Host inalcançável.2: Protocolo inalcançável.3: Porta inalcançável.4: Fragmentação necessária e DF marcado.5: Falha no roteamento de origem.
Duração da Conexão
Os valores de duração são expressas em milissegundos. Abaixo estão alguns exemplos de conversões de duração:
50000: 5 segundos100000: 10 segundos150000: 15 segundos300000: 30 segundos600000: 1 minuto1200000: 2 minutos3000000: 5 minutos
Para filtrar conexões baseadas em sua duração, você pode usar o parâmetro duration. Por exemplo:
duration >= 60000
Filtrar conexões que duram pelo menos 1 minuto:
dst ip 10.0.168.9 AND dst port 8080 AND proto TCP AND duration >= 60000
Filtrar tráfego para o IP 10.0.168.9 na porta 8080 usando TCP que dura pelo menos 1 minuto
ASN (Sistema Autônomo)
Exemplos de filtros baseados em ASN:
as 15169
Filtra tráfego associado ao ASN 15169 (Google).
src as 15169
Filtra tráfego originado do ASN 15169.
dst as 15169 OR dst as 36040 OR dst as 396982
Filtra tráfego destinado a qualquer um dos ASNs especificados.
dst as in [15169 36040 396982]
Filtra tráfego destinado a uma lista de ASNs.
dst as >= 13335 AND dst as <= 15169
Filtra tráfego destinado a ASNs dentro de um intervalo específico.
Bytes (Transferências de Dados)
Exemplos de filtros para identificar transferências de dados significativas:
proto TCP AND dst port 80 AND bytes > 1048576
Tráfego TCP para a porta 80 com transferências superiores a 1MB.
proto TCP AND dst port 80 AND bytes > 10485760
Tráfego TCP para a porta 80 com transferências superiores a 10MB.
proto TCP AND dst port 80 AND bytes > 104857600
Tráfego TCP para a porta 80 com transferências superiores a 100MB.
proto TCP AND dst port in [80 443] AND bytes > 104857600
Tráfego TCP para as portas 80 e 443 com transferências superiores a 100MB.
proto TCP AND dst port in [80 443] AND bytes > 524288000
Tráfego TCP para as portas 80 e 443 com transferências superiores a 500MB.
proto TCP AND dst port in [80 443] AND bytes > 1073741824
Tráfego TCP para as portas 80 e 443 com transferências superiores a 1GB.
Identificação de grandes transferências de dados de sua rede:
src net 10.0.168.0/21 AND proto TCP AND bytes > 524288000 AND duration > 50000
Grandes transferências de dados (> 500MB) da rede 10.0.168.0/21 com duração superior a 50 segundos.
(src net 10.0.168.0/21 OR src net 10.5.220.0/22 OR src net 10.186.204.0/22 OR src net 2001:db8::/32) AND proto TCP AND bytes > 524288000 AND duration > 50000
Grandes transferências de dados (> 500MB) saindo de múltiplas redes, com duração superior a 50 segundos.
src net 10.0.168.0/21 AND proto UDP AND not dst port in [53 123 161] AND bytes < 200
Tráfego UDP de saída da rede 10.0.168.0/21 para portas não comuns com pequenos payloads, possível indicador de atividade maliciosa ou de reconhecimento.
Flags TCP
As flags TCP são utilizadas para controlar o estado de uma conexão e são críticas para a análise do comportamento da rede:
S(SYN): Inicia uma conexão TCP.A(ACK): Confirma o recebimento de dados.F(FIN): Indica o término do envio de dados.R(RST): Reinicia a conexão TCP de forma abrupta.P(PSH): Solicita que os dados sejam enviados imediatamente.U(URG): Indica que os dados no pacote são urgentes.X: Todas as flags ativadas (representação para diagnóstico ou testes).
flags S
Início de uma conexão TCP.
flags SA
Estabelecimento de uma conexão TCP.
flags PA
Envio de dados em uma conexão estabelecida.
flags FA
Finalização de uma conexão estabelecida.
flags S AND not flags AFRPU
Sintaxe para obter fluxos com apenas a flag SYN ativada.
flags S AND not flags AFRPU AND dst port 22
Detecção de varredura SYN na porta SSH.
flags S AND not flags AFRPU AND dst port 22 AND dst net 10.0.170.0/24
Filtro para varredura SYN em SSH para a rede 10.0.170.0/24.
flags S AND not flags AFRPU AND dst port in [22 23 80 443] AND dst net 10.0.170.0/24
Detecção de varredura SYN nas portas 22, 23, 80, 443 na rede 10.0.170.0/24.
flags S AND not flags AFRPU AND dst port in [22 23 80 443] AND dst net 10.0.170.0/24 bytes > 98304
Detecção de tráfego com flags SYN em certas portas e com mais de 96KB de dados.
flags RA AND dst net 10.0.168.0/21
Identificação de encerramento abrupto de conexões na rede 10.0.168.0/21.
xip 249.0.0.200 and src xport >= 1000 and src xport <= 2000
Identificando um IP compartilhado com range de porta entre 1000 e 2000.
Outros
in if 87 and not flags S and not flags AFRPU and (proto tcp or proto udp) and not port in [80 443]
not flags S and not flags AFRPU and (proto tcp or proto udp) and not port in [80 443]
Filtro de tráfego TCP/UDP excluindo portas 80 e 443, sem pacotes SYN e flags de controle, focado em identificar possíveis ataques fora de tráfego web.
dst ip in [1.1.1.1, 8.8.8.8, 8.8.4.4, 1.0.0.1] AND dst port 53 AND proto UDP
Filtra tráfego destinado aos servidores DNS da Google (8.8.8.8, 8.8.4.4) e Cloudflare (1.1.1.1, 1.0.0.1) na porta 53 utilizando UDP.
dst as in [13335, 15169] AND dst port 53 AND proto UDP
Filtra tráfego destinado aos ASNs 13335 (Cloudflare) e 15169 (Google) na porta 53 utilizando UDP.
dst net 10.0.170.0/24 AND dst port 0
Identifica tráfego destinado à rede 10.0.170.0/24 na porta 0, incomum para comunicação regular.
dst net 10.0.170.0/24 AND dst port 0 AND not proto GRE
Filtra tráfego destinado à rede 10.0.170.0/24 na porta 0, excluindo o protocolo GRE.
dst net 10.0.168.0/21 AND dst port 0 AND not proto GRE AND not proto ICMP
Filtra tráfego destinado à rede 10.0.168.0/21 na porta 0, excluindo os protocolos GRE e ICMP, indicando atividade potencialmente suspeita ou não convencional.
Mais alguns 😎
QUIC proto UDP and (port 80 or port 443)
UDP-QUIC proto UDP and not (port 80 or port 443)
DNS port 53
TCP+ACK/SYN flags A and flags S
SYN flags S
INVALID (proto TCP and port 0) or (proto UDP and port 0)
OTHER not proto ICMP and not proto TCP and not proto UDP and not proto ICMP6
TCP proto TCP
TCP+SYN flags S and not flags A
UDP proto UDP
ICMP proto ICMP or proto ICMP6
HTTP proto TCP and port 80
HTTPS proto TCP and port 443
MAIL proto TCP and (port 25 or port 110 or port 143 or port 465 or port 585 or port 587 or port 993 or port 995)
IPSEC proto ESP or proto AH
WWW proto TCP and (port 80 or port 443)
SSH proto TCP and port 22
SIP port 5060
NTP proto UDP and port 123
SNMP proto UDP and (port 161 or port 162)
RDP port 3389
TCP-NULL not flags ASFRPU
TCP+RST flags R
SSDP proto UDP and port 1900
TCP+ACK flags A and not flags S
TCP-ALL flags ASFRPU
NETBIOS proto TCP and port 139
MEMCACHED proto UDP and port 11211
LDAP proto TCP and port 389
CLDAP proto UDP and port 389
CHARGEN port 19
ASN Reservadors
| ASN | Desc. | RFC |
|---|---|---|
| 0 | RESERVED BY | RFC7607 |
| 23456 | AS_TRANS | RFC6793 |
| 64496-64511 | FOR DOCUMENTATION AND SAMPLE CODE | RFC5398 |
| 64512-65534 | FOR PRIVATE USE | RFC6996 |
| 65535 | RESERVED | RFC7300 |
| 65536-65551 | FOR DOCUMENTATION AND SAMPLE CODE | RFC5398 |
| 4200000000-4294967294 | FOR PRIVATE USE | RFC6996 |
| 4294967295 | RESERVED | RFC7300 |
| 65552-157371 | IANA RESERVED ASNS | - |
Protocolos
| Nº | Keyword | Protocol |
|---|---|---|
| 0 | HOPOPT | IPv6 Hop-by-Hop Option |
| 1 | ICMP | Internet Control Message Protocol |
| 2 | IGMP | Internet Group Management Protocol |
| 3 | GGP | Gateway-to-Gateway Protocol |
| 4 | IP-in-IP | IP in IP (encapsulation) |
| 5 | ST | Internet Stream Protocol |
| 6 | TCP | Transmission Control Protocol |
| 7 | CBT | Core-based trees |
| 8 | EGP | Exterior Gateway Protocol |
| 9 | IGP | Interior gateway protocol (any private interior gateway, for example Cisco’s IGRP) |
| 10 | BBN-RCC-MON | BBN RCC Monitoring |
| 11 | NVP-II | Network Voice Protocol |
| 12 | PUP | Xerox PUP |
| 13 | ARGUS | ARGUS |
| 14 | EMCON | EMCON |
| 15 | XNET | Cross Net Debugger |
| 16 | CHAOS | Chaos |
| 17 | UDP | User Datagram Protocol |
| 18 | MUX | Multiplexing |
| 19 | DCN-MEAS | DCN Measurement Subsystems |
| 20 | HMP | Host Monitoring Protocol |
| 21 | PRM | Packet Radio Measurement |
| 22 | XNS-IDP | XEROX NS IDP |
| 23 | TRUNK-1 | Trunk-1 |
| 24 | TRUNK-2 | Trunk-2 |
| 25 | LEAF-1 | Leaf-1 |
| 26 | LEAF-2 | Leaf-2 |
| 27 | RDP | Reliable Data Protocol |
| 28 | IRTP | Internet Reliable Transaction Protocol |
| 29 | ISO-TP4 | ISO Transport Protocol Class 4 |
| 30 | NETBLT | Bulk Data Transfer Protocol |
| 31 | MFE-NSP | MFE Network Services Protocol |
| 32 | MERIT-INP | MERIT Internodal Protocol |
| 33 | DCCP | Datagram Congestion Control Protocol |
| 34 | 3PC | Third Party Connect Protocol |
| 35 | IDPR | Inter-Domain Policy Routing Protocol |
| 36 | XTP | Xpress Transport Protocol |
| 37 | DDP | Datagram Delivery Protocol |
| 38 | IDPR-CMTP | IDPR Control Message Transport Protocol |
| 39 | TP++ | TP++ Transport Protocol |
| 40 | IL | IL Transport Protocol |
| 41 | IPv6 | IPv6 Encapsulation (6to4 and 6in4) |
| 42 | SDRP | Source Demand Routing Protocol |
| 43 | IPv6-Route | Routing Header for IPv6 |
| 44 | IPv6-Frag | Fragment Header for IPv6 |
| 45 | IDRP | Inter-Domain Routing Protocol |
| 46 | RSVP | Resource Reservation Protocol |
| 47 | GRE | Generic Routing Encapsulation |
| 48 | DSR | Dynamic Source Routing Protocol |
| 49 | BNA | Burroughs Network Architecture |
| 50 | ESP | Encapsulating Security Payload |
| 51 | AH | Authentication Header |
| 52 | I-NLSP | Integrated Net Layer Security Protocol |
| 53 | SwIPe | SwIPe |
| 54 | NARP | NBMA Address Resolution Protocol |
| 55 | MOBILE | IP Mobility (Min Encap) |
| 56 | TLSP | Transport Layer Security Protocol (using Kryptonet key management) |
| 57 | SKIP | Simple Key-Management for Internet Protocol |
| 58 | IPv6-ICMP | ICMP for IPv6 |
| 59 | IPv6-NoNxt | No Next Header for IPv6 |
| 60 | IPv6-Opts | Destination Options for IPv6 |
| 61 | Any host internal protocol | |
| 62 | CFTP | CFTP |
| 63 | Any local network | |
| 64 | SAT-EXPAK | SATNET and Backroom EXPAK |
| 65 | KRYPTOLAN | Kryptolan |
| 66 | RVD | MIT Remote Virtual Disk Protocol |
| 67 | IPPC | Internet Pluribus Packet Core |
| 68 | Any distributed file system | |
| 69 | SAT-MON | SATNET Monitoring |
| 70 | VISA | VISA Protocol |
| 71 | IPCU | Internet Packet Core Utility |
| 72 | CPNX | Computer Protocol Network Executive |
| 73 | CPHB | Computer Protocol Heart Beat |
| 74 | WSN | Wang Span Network |
| 75 | PVP | Packet Video Protocol |
| 76 | BR-SAT-MON | Backroom SATNET Monitoring |
| 77 | SUN-ND | SUN ND PROTOCOL-Temporary |
| 78 | WB-MON | WIDEBAND Monitoring |
| 79 | WB-EXPAK | WIDEBAND EXPAK |
| 80 | ISO-IP | International Organization for Standardization Internet Protocol |
| 81 | VMTP | Versatile Message Transaction Protocol |
| 82 | SECURE-VMTP | Secure Versatile Message Transaction Protocol |
| 83 | VINES | VINES |
| 84 | TTP | TTP (Transaction Transport Protocol) (obsoleted March 2023) |
| 84 | IPTM | Internet Protocol Traffic Manager |
| 85 | NSFNET-IGP | NSFNET-IGP |
| 86 | DGP | Dissimilar Gateway Protocol |
| 87 | TCF | TCF |
| 88 | EIGRP | EIGRP |
| 89 | OSPF | Open Shortest Path First |
| 90 | Sprite-RPC | Sprite RPC Protocol |
| 91 | LARP | Locus Address Resolution Protocol |
| 92 | MTP | Multicast Transport Protocol |
| 93 | AX.25 | AX.25 |
| 94 | OS | KA9Q NOS compatible IP over IP tunneling |
| 95 | MICP | Mobile Internetworking Control Protocol |
| 96 | SCC-SP | Semaphore Communications Sec. Pro |
| 97 | ETHERIP | Ethernet-within-IP Encapsulation |
| 98 | ENCAP | Encapsulation Header |
| 99 | Any private encryption scheme | |
| 100 | GMTP | GMTP |
| 101 | IFMP | Ipsilon Flow Management Protocol |
| 102 | PNNI | PNNI over IP |
| 103 | PIM | Protocol Independent Multicast |
| 104 | ARIS | IBM’s ARIS (Aggregate Route IP Switching) Protocol |
| 105 | SCPS | SCPS (Space Communications Protocol Standards) |
| 106 | QNX | QNX |
| 107 | A/N | Active Networks |
| 108 | IPComp | IP Payload Compression Protocol |
| 109 | SNP | Sitara Networks Protocol |
| 110 | Compaq-Peer | Compaq Peer Protocol |
| 111 | IPX-in-IP | IPX in IP |
| 112 | VRRP | Virtual Router Redundancy Protocol, Common Address Redundancy Protocol (not IANA assigned) |
| 113 | PGM | PGM Reliable Transport Protocol |
| 114 | Any 0-hop protocol | |
| 115 | L2TP | Layer Two Tunneling Protocol Version 3 |
| 116 | DDX | D-II Data Exchange (DDX) |
| 117 | IATP | Interactive Agent Transfer Protocol |
| 118 | STP | Schedule Transfer Protocol |
| 119 | SRP | SpectraLink Radio Protocol |
| 120 | UTI | Universal Transport Interface Protocol |
| 121 | SMP | Simple Message Protocol |
| 122 | SM | Simple Multicast Protocol |
| 123 | PTP | Performance Transparency Protocol |
| 124 | IS-IS over IPv4 | Intermediate System to Intermediate System (IS-IS) Protocol over IPv4 |
| 125 | FIRE | Flexible Intra-AS Routing Environment |
| 126 | CRTP | Combat Radio Transport Protocol |
| 127 | CRUDP | Combat Radio User Datagram |
| 128 | SSCOPMCE | Service-Specific Connection-Oriented Protocol in a Multilink and Connectionless Environment |
| 129 | IPLT | |
| 130 | SPS | Secure Packet Shield |
| 131 | PIPE | Private IP Encapsulation within IP |
| 132 | SCTP | Stream Control Transmission Protocol |
| 133 | FC | Fibre Channel |
| 134 | RSVP-E2E-IGNORE | Reservation Protocol (RSVP) End-to-End Ignore |
| 135 | Mobility Header | Mobility Extension Header for IPv6 |
| 136 | UDPLite | Lightweight User Datagram Protocol |
| 137 | MPLS-in-IP | Multiprotocol Label Switching Encapsulated in IP |
| 138 | manet | MANET Protocols |
| 139 | HIP | Host Identity Protocol |
| 140 | Shim6 | Site Multihoming by IPv6 Intermediation |
| 141 | WESP | Wrapped Encapsulating Security Payload |
| 142 | ROHC | Robust Header Compression |
| 143 | Ethernet | Segment Routing over IPv6 |
| 144 | AGGFRAG | AGGFRAG Encapsulation Payload for ESP |
| 145 | NSH Network Service Header |