允许的原语
本部分描述了允许的原语。
允许以下原语:
| 项 | 描述 |
|---|---|
| dst 主机 主机 | 如果包的 IP (Internet Protocol) 目标字段的值与 Host 变量 (可以是地址或名称) 的值相同,那么为 True。 |
| dst 端口 端口 | 若数据包为 TCP/IP ( Transmission Control Protocol / Internet Protocol ) 或 IP/UDP ( Internet Protocol / User Datagram Protocol ) 且目标端口值为 Port ,则为真。 端口可以是 /etc/services中使用的数字或名称。 如果使用了名称,那么检查端口号和协议。 如果使用数字或模糊名称,那么仅检查端口号 (dst port 513将同时打印TCP/登录流量和UDP/人员流量,以及port domain将同时打印 TCP/domain 和 UDP/domain 流量)。 |
| DST 网络 网络 | 如果包的 IP 目标地址的值具有网络号 Net,那么为 True。 请注意, Net 必须采用点分十进制格式。 |
| 更大 长度 | 如果包的长度大于或等于 Length 变量,那么为 True。 这相当于: len > = 长度 |
| 主机 主机 | 如果包的 IP 源或目标的值与 Host 变量的值相同,那么为 True。 可以在任何先前的 host 表达式之前添加关键字 ip, arp或 rarp ,如下所示: IP 主机 主机 如果 Host 变量是具有多个 IP 地址的名称,那么将检查每个地址是否匹配。 |
| ip, arp和rarp | 这些关键字是下列形式的 abbrieviated: proto ip, proto arp和 proto rarp。 |
| ip broadcast | 如果包是 IP 广播包,那么为 True。 它检查全零和全一广播约定,并查找本地子网掩码。 |
| ip multicast | 如果信息包是 IP 多点广播信息包,那么为 True。 |
| ip proto 协议 | 如果包是协议类型为 Protocol的 IP 包,那么为 True。 协议 可以是数字或名称 icmp,udp, 或 tcp之一。 |
| 减去 长度 | 如果包的长度小于或等于 Length,那么为 True。 这相当于: 伦 < = 长度 |
| 网络 网络 | 如果包的 IP 源地址或目标地址的值具有网络号 Net,那么为 True。 请注意, Net 必须采用点分十进制格式 |
| 净 /长 | 如果包的 IP 源地址或目标地址的值具有网络号 Net 和宽度为 Len 位的网络掩码,那么为 True。 请注意, Net 必须采用点分十进制格式。 |
| net Net 掩码 掩码 | 如果包的 IP 源地址或目标地址的值具有网络号 Net 和特定网络掩码 Mask,那么为 True。 请注意, Net 和 Mask 必须采用点分十进制格式。 |
| 端口 端口 | 如果包的源端口或目标端口的值为 Port,那么为 True。 可以在任何先前的 port 表达式前添加关键字 tcp 或 udp ,如下所示: tcp src 端口 端口 仅与 TCP 包匹配。 |
| proto 协议 | 如果包的类型为 协议,那么为 True。 Protocol 可以是数字或名称,例如 ip, arp或 rarp。 |
| src 主机 主机 | 如果包的 IP 源字段的值与 Host 变量的值相同,那么为 True。 |
| src 网络 网络 | 如果包的 IP 源地址的值具有网络号 Net,那么为 True。 请注意, Net 必须采用点分十进制格式。 |
| src 端口 端口 | 如果 Port 变量的值与源端口的值相同,那么为 True。 |
| tcp, udp和 icmp | 这些关键字是下列形式的 abbrieviated: ip proto tcp, ip proto udp或 ip proto icmp |