Wireshark Filtreleme Komutları

Örnekler

Network trafiği içerisinde filtreleme yapmak wireshark ın en önemli özelliklerindendir.Bu filtrelemeyi basit,anlaşılır kodlarla yapıyor.

IP adresi 172.18.5.4 olan traifk--> host 172.18.5.4

IP aralığı .0/24 olan trafik --> net 192.168.0.0/24

IP aralığı 192.168.0.0/24 ve mask değeri 255.255.255.0 olan trafik

• net 192.168.0.0/24 or mask 255.255.255.0 

Kaynak makinadan giden  network trafiği ve IP aralığı

src net 192.168.0.0/24

src net 192.168.0.0 or  mask 255.255.255.0

Hedef makinanın Ip aralığı 192.168.0.0/24 olan trafik

• dst net 192.168.0.0/24 

or

• dst net 192.168.0.0 mask 255.255.255.0 

DNS (port 53) trafiği:

• port 53 

Host adresi www.example.com olan ve 80 ile 25 portundan gelmeyen trafikler

• host www.example.com and not (port 80 or port 25) host www.example.com and not port 80 and not port 25
  

DNS trafiği olup ARP trafiği olmayan:

• port not 53 and not arp 

TCP portlarından 1501-1549 arasındaki trafik

• tcp portrange 1501-1549

Hedef MAC adresi 01:80:c2:00:00:0e olmayan

• not ether dst 01:80:c2:00:00:0e 

Broadcast ve multicast olmayan trafik

• not broadcast and not mcast ulticast 

Blaster worm Tespiti:

• dst port 135 and tcp port 135 and ip[2:2]==48 

Welchia worm Tespiti:

• icmp[icmptype]==icmp-echo and ip[2:2]==92 and icmp[8:4]==0xAAAAAAAA

TCP portu 25 olan ICMP paketlerini

• tcp.port eq 25 or icmp

Kaynak IP adres aralığı 192.168.0.0/16 ve hedef IP adres alığı  192.168.0.0/16

• ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16 

HTTP Trafiği

 --> http

URL kısmında flv,swf geçen veya video ,flash tipinde olan paketler

--> http.request.uri contains "flv" or http.request.uri contains "swf" or http.content_type contains "flash" or http.content_type contains "video"

HTML cevap sayfaları

#404: page not found sayfasını bulma
--> http.response.code == 404
 
#200: OK  sayfasını bulma

--> http.response.code == 200

HTTP Metotları

http.request.method == "POST" || http.request.method == "PUT"

Dosya türü "text" ile başlayan paketler

http.content_type[0:4] == "text"

HTTP trafiğinde "javascript" geçen paketler

http.content_type contains "javascript"

Tipi="image/(gif|jpeg|png|etc)" ^ olanlar

http.content_type[0:5] == "image"

Tipi ="image/gif" ^

http.content_type == "image/gif"

HTTP başlığı TRACE olmayan paketler

http.request.method != "TRACE"

HTTP başlığı GET olan paketler

http.request.method = "GET"

HTTP başlığı POST olan paketler

http.request.method = "POST"

TELNET

telnet

FTP

ftp