一键过滤策略(推荐):从一键过滤策略区域的策略列表,选中要应用的策略。
策略列表罗列了常见的UDP反射攻击类型,以及被用于发动对应反射攻击的反射源端口。建议您全选策略列表中的端口,对常见的UDP反射攻击源端口都开启过滤策略。
自定义过滤策略:在自定义过滤策略区域在的反射源端口列表框,输入要过滤的其他UDP反射源端口(范围:0~65535)。最多支持设置20个端口,多个端口间使用英文逗号(,)分隔。
该方式适用于过滤一键过滤策略列表中未涵盖的端口,不支持添加与一键过滤策略列表中相同的端口。
UDP协议分析常用过滤条件
== //过滤ip地址
==8 //过滤data部分长度为8的数据包
== 00:08:30:03:00:00:00:00 //过滤指定内容的数据包
ort == 10092 //过滤经过本机10092端口的udp数据包
ort == 80 //过滤目标机器10092端口的udp数据包
==10092 //过滤本机或目标机器10092端口的数据包
th == 20 //过滤指定长度的UDP数据包
UDP校验和过滤条件
ksum == 0x250f
ksum_good == 0 //Boolean类型
ksum_bad == 0
进程相关的过滤条件
以下过滤条件不支持Windows,因为需要特殊的驱动。
md //过滤目标进程名
id //过滤目标进程PID
id //过滤目标进程的用户ID
name //过滤目标进程的用户名
md //过滤源进程名
id //过滤源进程PID
id //过滤源进程的用户ID
name //过滤源进程的用户名
