Pratik Wireshark Filtreleri

Malware analistlerin C&C sunucular覺, Network ve Sistem Adminlerin hatalar覺 tespit etmekte kulland覺覺 pop羹ler ve alan覺ndaki en iyi paket analiz arac覺 Wireshark覺 hepimiz biliyoruz. Kimimiz 100.000 paketi tek tek inceliyor, kimimiz ise arad覺覺na F襤LTRE ad覺 verilen efsanevi 繹zellik ile direk nokta at覺覺 yap覺yor. Tabi biz ilk se癟enek i癟in yazmad覺k bu yaz覺y覺 Network paket analizi yaparken arad覺覺n覺z覺 elinizle koymu gibi bulman覺z i癟in 襤inize Yarayacak 20 Wireshark Filtresini sizler i癟in derledim.

  1. ip.addr == 192.168.1.1 Bu filtremiz Source veya Destinationda ilgili IP olan paketleri bizlere sunuyor.

  2. ip.addr == 192.168.1.1 && ip.addr == 10.0.0.3

Bahsi ge癟en iki IP adresini VE balac覺 ile balam覺. Yani Source veya Destinationda bu ikisi olmak zorunda. Hangisi Destination, hangisi Source 繹nemli deil.

  1. ip.addr == 192.168.0.0/24

192.168.0.x adresindeki 255 IP adresinden birisi paketlerde var ise, ilgili paketi 繹n羹m羹ze getirir.

4) ip.src == 192.168.1.16 && ip.dest == 10.0.0.12

Sourceu 192.168.1.16, Destination覺 10.0.0.12 olan paketleri filtreler.

  1. ip.addr != 192.168.1.16

襤lgili IP adresinin olmad覺覺 t羹m paketleri filtreler.

  1. tcp.port == 8080

8080 portuna balant覺 salayan paketleri filtreler.

  1. tcp.port in {443 80 8443}

Birden fazla TCP portunun balant覺 yap覺ld覺覺 paket ar覺yorsan覺z, kullan覺l覺 bir filtredir.

  1. tcp.flags & 0x02

TP bayra覺 0x02 oan paketleri filtreler. 0x02, SYN bitine kar覺l覺k gelmektedir. Ayn覺 ekilde tcp.flags.syn == 1 filtresi de ayn覺 anlama gelmektedir. Ayr覺ca bu filtre hem SYN, hemde SYN/ACK paketlerini g繹sterecektir. Sadece SYN paketlerini g繹stermek istiyorsan覺z da tcp.flags.syn == 1 && tcp.flags.ack == 0 filtresini kullanman覺z gerekir.

  1. tcp contains FLAG

TCP paketlerinin i癟erisinde FLAG stringi olan paketi filtreler. zellikle CTF yar覺malar覺nda iimize yarayaca覺 aikar

10) http.request.uri == https://fatihsensoy.com/

Spesifik bir web sitesine g繹nderilen veya al覺nan paketleri filtrelemenize olanak salar.

  1. http.host matches microsoft\.(org|com|net|tr)

Microsoft ad覺n覺n com, org, net veya tr domainleri ile alakal覺 giden veya gelen bir paket var ise filtreler.

  1. http.request.method == POST

POST isteinde bulunan t羹m paketleri filtreler.

  1. http.host == www.google.com

Belirtilen URLin host olduu paketleri bize sunar. Dikkat edilmesi gereken bir nokta mevcuttur. URL tam olarak yaz覺lmal覺d覺r. Yani web sitesinin ba覺nda www var ise eksik b覺rak覺lmas覺 halinde doru filtreleme yap覺lmayacakt覺r.

  1. http.response.code == 200

Yap覺lan Request sonucu d繹nen Response kodu 200 (yani baar覺l覺 balant覺) olan paketleri filtreler. Ayn覺 ekilde 404 (bulunamad覺), 403 (yetkisiz eriim/yasak) gibi t羹m HTTP response kodlar覺n覺 da filtreleyebilirsiniz.

  1. http.content.type == audio/mpeg

HTTP paketlerinin i癟erisinde mpeg t羹r羹ndeki ses dosyalar覺 bulunan paketleri filtreler. Baka i癟erikleri de kolay bir ekilde filtreleyebilirsiniz. rnein image/jpeg gibi.

16) udp.port == 69

襤lgili UDP portuna g繹nderilen veya al覺nan paketleri filtreler.

  1. wlan.ssid == Isyeri_Wifi

襤lgili WIFI覺n SSIDsine yap覺lan ve al覺nan paketleri bize sunar.

  1. wlan.addr == 00:1c:12:dd:ac:4d

襤lgili WLAN MAC adresine yap覺lan ve al覺nan paketleri filtreler.

  1. icmp.type == 8 && imcp.type == 0

ICMP echo 8, echo reply 0 olarak ayarlanan bu filtre bize sadece ICMP Requestlerini filtrelemektedir.

  1. icmp

Bunun gibi tekli kullan覺mlar da mevcuttur. Fazla ayr覺nt覺ya girmeden direk ilgili protokol羹n olduu t羹m paketleri filtreler. Tahmin edebileceini 羹zere http, dns, tcp, udp gibi tekli filtremeler de mevcuttur.

K覺sa bir ekilde faydal覺 olabileceini d羹羹nd羹羹m Wireshark filtrelerini sizler i癟in derledim. Eer sizin de u filtre olmadan bu yaz覺 olmaz! dediiniz, 繹nemli g繹rd羹羹n羹z bir filtre var ise yorumlarda paylaabilir, yaz覺y覺 g羹ncellememe yard覺mc覺 olabilirsiniz


comments powered by Disqus