wiki:RegularExp

Context Navigation

← Previous Version
View Latest Version
Next Version →

Version 1 (modified by waue, 16 years ago) (diff)
--

正規表示法 Rules

規則

[^w] 不要有w的字串
word 待搜尋的字串(word)在行首
word$ 待搜尋的字串(word)在行尾
. 代表『任意一個』字符，一定是一個任意字符
\ 跳脫字符，將特殊符號的特殊意義去除
* 重複零個或多個的前一個 RE 字符
{n,m} 連續 n 到 m 個的『前一個 RE 字符』
[] 字元集合的 RE 特殊字符的符號
+ 重複『一個或一個以上』的前一個 RE 字符
? 『零個或一個』的前一個 RE 字符
| 用或( or )的方式找出數個字串
( ) 找出『群組』字串

範例

找tast 或 test： t[ae]st
不想要 oo 前面有 g： [^g]oo
oo 前面不想要有小寫字元： [^a-z]oo
取得有數字的那一行 ： [0-9]
只列出在行首的 the ：  ^the
不想要開頭是英文字母：^[^a-zA-Z]
行尾結束為小數點 (.) 的那一行 ： \.$
該行並沒有輸入任何資料：^$
任意一個字元 .，如找good,gxxd,... ：g..d
重複字元 * ，如找o,oo,oo...o：oo*
找出 g 開頭與 g 結尾的字串：g.*g
找出 g 後面接 2 到 5 個 o ，然後再接一個 g 的字串：go{2,5}g

Snort Log 範例

[**] [1:2189:3] BAD-TRAFFIC IP Proto 103 PIM [**] [[br]]
[Classification: Detection of a non-standard protocol or event] [Priority: 2]  [[br]]
07/08-14:58:56.295033 140.110.138.253 -> 224.0.0.13 [[br]]
PIM TTL:1 TOS:0xC0 ID:11423 IpLen:20 DgmLen:54 [[br]]
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0567][Xref => http://www.securityfocus.com/bid/8211] [[br]]

開發工具 : Regular Expression Editor

[] [1:2189:3] BAD-TRAFFIC IP Proto 103 PIM []

正規表示式：

^\[\**\] \[([1-9]*):([1-9]*):([1-9]*)\] ([^[]*)

結果：

1 [] [1:2189:3] BAD-TRAFFIC IP Proto 103 PIM
2 1
3 2189
4 3
5 BAD-TRAFFIC IP Proto 103 PIM

[Classification: Detection of a non-standard protocol or event] [Priority: 2]

正規表示式：

^\[Classification: ([^]]*)\] \[Priority: ([1-9]*)\]

結果：

1 [Classification: Detection of a non-standard protocol or event] [Priority: 2]
2 Detection of a non-standard protocol or event
3 2

07/08-14:58:56.295033 140.110.138.253 -> 224.0.0.13

正規表示式：

(^[0-9]*)\/([0-9]*)\-([0-9]*)\:([0-9]*)\:([0-9]*)\.[0-9]* ([^ ]*) -> ([^$]*)

結果：

1 07/08-14:58:56.295033 140.110.138.253 -> 224.0.0.13
2 07
3 08
4 14
5 57
6 56
7 140.110.138.253
8 224.0.0.13

PIM TTL:1 TOS:0xC0 ID:11423 IpLen:20 DgmLen:54

正規表示式：

([^ ]*) TTL:([^ ]*) TOS:([^ ]*) ID:([^ ]*) IpLen:([^ ]*) DgmLen:([^ ]*)

結果：

1 PIM TTL:1 TOS:0xC0 ID:11423 IpLen:20 DgmLen:54
2 PIM
3 1
4 0xC0
5 11078
6 20
7 54

[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0567][Xref => http://www.securityfocus.com/bid/8211]

正規表示式：

\[Xref => ([^]]*)\]

注意：只能找出第一個 [Xref => 的連結

結果：

1 [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0567]
2 http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0567

Download in other formats:

Plain Text