Temel 20 Wireshark Filtresi

-
Network ve Sistem Admin’lerin hataları tespit etmekte kullandığı popüler ve alanındaki en iyi paket analiz aracı Wireshark'ın temel 20 adet filtresini aşağıda bulabilirsiniz.

1) ip.addr == 192.168.1.1

Bu filtremiz Source veya Destination’da ilgili IP olan paketleri bizlere sunuyor.

 

2) ip.addr == 192.168.1.1 && ip.addr == 10.0.0.3

Bahsi geçen iki IP adresini VE bağlacı ile bağlamış. Yani Source veya Destination’da bu ikisi olmak zorunda. Hangisi Destination, hangisi Source önemli değil.

 

3) ip.addr == 192.168.0.0/24

192.168.0.x adresindeki 255 IP adresinden birisi paketlerde var ise, ilgili paketi önümüze getirir.

 

4) ip.src == 192.168.1.16 && ip.dest == 10.0.0.12

Source’u 192.168.1.16, Destination’ı 10.0.0.12 olan paketleri filtreler.

 

5) ip.addr != 192.168.1.16

İlgili IP adresinin olmadığı tüm paketleri filtreler.

 

6) tcp.port == 8080

8080 portuna bağlantı sağlayan paketleri filtreler.

 

7) tcp.port in {443 80 8443}

Birden fazla TCP portunun bağlantı yapıldığı paketleri listeler.

 

8) tcp.flags & 0x02

TP bayrağı 0x02 oan paketleri filtreler. 0x02, SYN bitine karşılık gelmektedir. Aynı şekilde tcp.flags.syn == 1 filtresi de aynı anlama gelmektedir. Ayrıca bu filtre hem SYN, hemde SYN/ACK paketlerini gösterecektir. Sadece SYN paketlerini göstermek istiyorsanız da tcp.flags.syn == 1 && tcp.flags.ack == 0 filtresini kullanmanız gerekir.

 

9) tcp contains FLAG

TCP paketlerinin içerisinde FLAG string’i olan paketi filtreler. 

 

10) http.request.uri == “http://habmes.blogspot.com.tr/”

Spesifik bir web sitesine gönderilen veya alınan paketleri filtrelemenize olanak sağlar.

 

11) http.host matches “microsoft\.(org|com|net|tr)”

Microsoft adının com, org, net veya tr domainleri ile alakalı giden veya gelen bir paket var ise filtreler.

 

12) http.request.method == “POST”

POST isteğinde bulunan tüm paketleri filtreler.

 

13) http.host == “www.google.com”

Belirtilen URL’in host olduğu paketleri bize sunar. Dikkat edilmesi gereken bir nokta mevcuttur. URL tam olarak yazılmalıdır. 

14) http.response.code == 200

Yapılan Request sonucu dönen Response kodu 200 (yani başarılı bağlantı) olan paketleri filtreler. Aynı şekilde 404 (bulunamadı), 403 (yetkisiz erişim/yasak) gibi tüm HTTP response kodlarını da filtreleyebilirsiniz.

 

15) http.content.type == “audio/mpeg”

HTTP paketlerinin içerisinde mpeg türündeki ses dosyaları bulunan paketleri filtreler. 

16) udp.port == 69

İlgili UDP portuna gönderilen veya alınan paketleri filtreler.

 

17) wlan.ssid == Isyeri_Wifi

İlgili WIFI’ın SSID’sine yapılan ve alınan paketleri listeler.

 

18) wlan.addr == 00:11:22:aa:bb:4cc

İlgili WLAN MAC adresine yapılan ve alınan paketleri filtreler.

 

19) icmp.type == 8 && imcp.type == 0

ICMP echo 8, echo reply 0 olarak ayarlanan bu filtre bize sadece ICMP Request’lerini filtrelemektedir.

 

20) icmp

Bunun gibi tekli kullanımlar da mevcuttur. Fazla ayrıntıya girmeden direk ilgili protokolün olduğu tüm paketleri filtreler. http, dns, tcp, udp gibi tekli filtremeler de yapabilirsiniz..

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Ping Komutu ve CMD komutları

-
        Öncelikle kısaca ping’i açıklayalım ardından da ping kodlarının anlamlarına geçelim. Ping programı, 1983 yılında Mike Muuss tarafından yazılmış bir programdır. Bir makineye genelde 32 baytlık bir ICMP pakedi gönderir ve aynı pakedin geri gelmesini bekler. Bu basit program, birçok işe yarayabilir. Sunucu size ne kadar uzak ise, bu süre de o kadar artmaktadır. örneğin Türkiye’deki sunuculara 20-30 ms ile bağlanırsınız. Ama Almanya’daki bir sunucuya bağlanmak istediğinizde mesafe arttığı için bu süre 80-90 ms gibi seviyelere çıkar. ping 192.168.0.2 —>  ip deki diğer bilgisayara ufak veri paketleri gönderip, alarak bağlantıyı test eder. ping -a 192.168.0.2 —>  ip deki diğer bilgisayara ufak veri paketleri gönderip, alarak bağlantıyı test eder. “-a” parametresi ile ipdeki bilgisayarın adresi görüntülenir. ping -a -n 20 192.168.0.2 —>  -n parametresinin yanındaki değer kadar veri paketleri gönderilerek test edilir. pathping –> bu komut sayesinde routerlar üzeriden geçe
Devamı

Uzak Masaüstü Bağlantı (RDP) Kısayol Oluşturma

-
Resim
Sık kullandığınız Uzak Masaüstü bilgisayarlarınız her bağlanmanız gerektiğinde bağlantı bilgilerini tekrar tekrar yazmak yerine  aşağıdaki yöntemle çok basit bir şekilde masaüstümüzde kısayol oluşturarak kullanabiliriz Masaüstümüzdeyken sağ tık kısayol oluştur diyelim.  Bu alana tercihinize göre bilgisayar adı ya da ip kullanarak dolduralım. mstsc.exe /v:BilgisayarAdı   veya   mstsc.exe /v:IPADRESI Hepsi bu kadar....
Devamı

hiberfile ve pagefile.sys dosyaları nedir nasıl silinir?

-
Resim
pagefile.sys:   Bu dosya, bilgisayarımızın RAM’inin yeterli olmadığı durumlarda, Windows’un kullanması için hard disk üzerinde ayrılmış bir alanı ifade eder. Hard diskin bir bölümünün RAM olarak kullanılmasını sağlar. Bu dosyanın boyutu bizim tarafımızdan belirlenebilir veya dosya kaldırılabilir.  Bunun için; Bilgisayar Özelliklerinden, Gelişmiş Sistem Araçları bölümünde Performans bölümü Ayarlar seçeneğinden Gelişmiş sekmesindeki Sanal Bellek kısmını açmamız gerekiyor. Bu işlemlerin ardından pagefile.sys dosyasının artık var olmadığını göreceksiniz.  (Not: Bu işlemden bilgisayarınızda yavaşlamalar söz konusu olabilir. Sonuçta RAM bellek boyutunu düşürüyoruz.) hiberfil.sys:   Bu dosya bilgisayarın Hazırda Beklet (Hibernate) modu için oluşturulmuş bir dosyadır. Bilgisayarın bekleme konumunda ( uyku modu ) olması anlamına gelen Hibernation ile bilgisayar en düşük güç tüketim moduna geçerek   hazırda bekler . Disklerin dönmesi durdurulur, anakartınız destekliyorsa fan
Devamı