Wireshark Filtreleme Komutları
Örnekler
Network trafiği içerisinde filtreleme yapmak wireshark ın en önemli özelliklerindendir.Bu filtrelemeyi basit,anlaşılır kodlarla yapıyor.
IP adresi 172.18.5.4 olan traifk--> host 172.18.5.4
IP aralığı .0/24 olan trafik --> net 192.168.0.0/24
IP aralığı 192.168.0.0/24 ve mask değeri 255.255.255.0 olan trafik
- net 192.168.0.0/24 or mask 255.255.255.0
Kaynak makinadan giden network trafiği ve IP aralığı
src net 192.168.0.0/24
src net 192.168.0.0 or mask 255.255.255.0
Hedef makinanın Ip aralığı 192.168.0.0/24 olan trafik
- dst net 192.168.0.0/24
or
- dst net 192.168.0.0 mask 255.255.255.0
- port 53
Host adresi www.example.com olan ve 80 ile 25 portundan gelmeyen trafikler
- host www.example.com and not (port 80 or port 25) host www.example.com and not port 80 and not port 25
DNS trafiği olup ARP trafiği olmayan:
- port not 53 and not arp
TCP portlarından 1501-1549 arasındaki trafik
- tcp portrange 1501-1549
Hedef MAC adresi 01:80:c2:00:00:0e olmayan
- not ether dst 01:80:c2:00:00:0e
Broadcast ve multicast olmayan trafik
- not broadcast and not mcast ulticast
Blaster worm Tespiti:
- dst port 135 and tcp port 135 and ip[2:2]==48
Welchia worm Tespiti:
- icmp[icmptype]==icmp-echo and ip[2:2]==92 and icmp[8:4]==0xAAAAAAAA
TCP portu 25 olan ICMP paketlerini
- tcp.port eq 25 or icmp
Kaynak IP adres aralığı 192.168.0.0/16 ve hedef IP adres alığı 192.168.0.0/16
- ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16
HTTP Trafiği
--> http
URL kısmında flv,swf geçen veya video ,flash tipinde olan paketler
--> http.request.uri contains "flv" or http.request.uri contains "swf" or http.content_type contains "flash" or http.content_type contains "video"
HTML cevap sayfaları
#404: page not found sayfasını bulma --> http.response.code == 404 #200: OK sayfasını bulma
--> http.response.code == 200
HTTP Metotları
http.request.method == "POST" || http.request.method == "PUT"
Dosya türü "text" ile başlayan paketler
http.content_type[0:4] == "text"
HTTP trafiğinde "javascript" geçen paketler
http.content_type contains "javascript"
Tipi="image/(gif|jpeg|png|etc)" ^ olanlar
http.content_type[0:5] == "image"
http.content_type == "image/gif"
HTTP başlığı TRACE olmayan paketler
http.request.method != "TRACE"
http.request.method = "GET"
HTTP başlığı POST olan paketler
http.request.method = "POST"
TELNET
telnet
FTP
ftp
Yorumlar