Pratik Wireshark ­čŽł Filtreleri

Malware analistlerin C&C sunucular─▒, Network ve Sistem Adminlerin hatalar─▒ tespit etmekte kulland─▒─č─▒ pop├╝ler ve alan─▒ndaki en iyi paket analiz arac─▒ WiresharkÔÇÖ─▒ hepimiz biliyoruz. Kimimiz 100.000 paketi tek tek inceliyor, kimimiz ise arad─▒─č─▒na F─░LTRE ad─▒ verilen efsanevi ├Âzellik ile direk nokta at─▒┼č─▒ yap─▒yor. Tabi biz ilk se├ženek i├žin yazmad─▒k bu yaz─▒y─▒ ­čÖé Network paket analizi yaparken arad─▒─č─▒n─▒z─▒ elinizle koymu┼č gibi bulman─▒z i├žin ─░┼činize Yarayacak 20 Wireshark Filtresini sizler i├žin derledim.

1) ip.addr == 192.168.1.1 Bu filtremiz Source veya DestinationÔÇÖda ilgili IP olan paketleri bizlere sunuyor.

2) ip.addr == 192.168.1.1 && ip.addr == 10.0.0.3

Bahsi ge├žen iki IP adresini VE ba─člac─▒ ile ba─člam─▒┼č. Yani Source veya DestinationÔÇÖda bu ikisi olmak zorunda. Hangisi Destination, hangisi Source ├Ânemli de─čil.

3) ip.addr == 192.168.0.0/24

192.168.0.x adresindeki 255 IP adresinden birisi paketlerde var ise, ilgili paketi ├Ân├╝m├╝ze getirir.

4) ip.src == 192.168.1.16 && ip.dest == 10.0.0.12

SourceÔÇÖu 192.168.1.16, DestinationÔÇÖ─▒ 10.0.0.12 olan paketleri filtreler.

5) ip.addr != 192.168.1.16

─░lgili IP adresinin olmad─▒─č─▒ t├╝m paketleri filtreler.

6) tcp.port == 8080

8080 portuna ba─člant─▒ sa─člayan paketleri filtreler.

7) tcp.port in {443 80 8443}

Birden fazla TCP portunun ba─člant─▒ yap─▒ld─▒─č─▒ paket ar─▒yorsan─▒z, kullan─▒┼čl─▒ bir filtredir.

8) tcp.flags & 0x02

TP bayra─č─▒ 0x02 oan paketleri filtreler. 0x02, SYN bitine kar┼č─▒l─▒k gelmektedir. Ayn─▒ ┼čekilde tcp.flags.syn == 1 filtresi de ayn─▒ anlama gelmektedir. Ayr─▒ca bu filtre hem SYN, hemde SYN/ACK paketlerini g├Âsterecektir. Sadece SYN paketlerini g├Âstermek istiyorsan─▒z da tcp.flags.syn == 1 && tcp.flags.ack == 0 filtresini kullanman─▒z gerekir.

9) tcp contains FLAG

TCP paketlerinin i├žerisinde FLAG stringÔÇÖi olan paketi filtreler. ├ľzellikle CTF yar─▒┼čmalar─▒nda i┼čimize yarayaca─č─▒ a┼čikar ­čÖé

10) http.request.uri == ÔÇťhttps://fatihsensoy.com/ÔÇŁ

Spesifik bir web sitesine g├Ânderilen veya al─▒nan paketleri filtrelemenize olanak sa─člar.

11) http.host matches ÔÇťmicrosoft\.(org|com|net|tr)ÔÇŁ

Microsoft ad─▒n─▒n com, org, net veya tr domainleri ile alakal─▒ giden veya gelen bir paket var ise filtreler.

12) http.request.method == ÔÇťPOSTÔÇŁ

POST iste─činde bulunan t├╝m paketleri filtreler.

13) http.host == ÔÇťwww.google.comÔÇŁ

Belirtilen URLÔÇÖin host oldu─ču paketleri bize sunar. Dikkat edilmesi gereken bir nokta mevcuttur. URL tam olarak yaz─▒lmal─▒d─▒r. Yani web sitesinin ba┼č─▒nda www var ise eksik b─▒rak─▒lmas─▒ halinde do─čru filtreleme yap─▒lmayacakt─▒r.

14) http.response.code == 200

Yap─▒lan Request sonucu d├Ânen Response kodu 200 (yani ba┼čar─▒l─▒ ba─člant─▒) olan paketleri filtreler. Ayn─▒ ┼čekilde 404 (bulunamad─▒), 403 (yetkisiz eri┼čim/yasak) gibi t├╝m HTTP response kodlar─▒n─▒ da filtreleyebilirsiniz.

15) http.content.type == ÔÇťaudio/mpegÔÇŁ

HTTP paketlerinin i├žerisinde mpeg t├╝r├╝ndeki ses dosyalar─▒ bulunan paketleri filtreler. Ba┼čka i├žerikleri de kolay bir ┼čekilde filtreleyebilirsiniz. ├ľrne─čin ÔÇťimage/jpegÔÇŁ gibi.

16) udp.port == 69

─░lgili UDP portuna g├Ânderilen veya al─▒nan paketleri filtreler.

17) wlan.ssid == Isyeri_Wifi

─░lgili WIFIÔÇÖ─▒n SSIDÔÇÖsine yap─▒lan ve al─▒nan paketleri bize sunar.

18) wlan.addr == 00:1c:12:dd:ac:4d

─░lgili WLAN MAC adresine yap─▒lan ve al─▒nan paketleri filtreler.

19) icmp.type == 8 && imcp.type == 0

ICMP echo 8, echo reply 0 olarak ayarlanan bu filtre bize sadece ICMP RequestÔÇÖlerini filtrelemektedir.

20) icmp

Bunun gibi tekli kullan─▒mlar da mevcuttur. Fazla ayr─▒nt─▒ya girmeden direk ilgili protokol├╝n oldu─ču t├╝m paketleri filtreler. Tahmin edebilece─čini ├╝zere http, dns, tcp, udp gibi tekli filtremeler de mevcuttur.

K─▒sa bir ┼čekilde faydal─▒ olabilece─čini d├╝┼č├╝nd├╝─č├╝m Wireshark filtrelerini sizler i├žin derledim. E─čer sizin de ÔÇť┼×u filtre olmadan bu yaz─▒ olmaz!ÔÇŁ dedi─činiz, ├Ânemli g├Ârd├╝─č├╝n├╝z bir filtre var ise yorumlarda payla┼čabilir, yaz─▒y─▒ g├╝ncellememe yard─▒mc─▒ olabilirsiniz ­čÖé