WIRESHARK - Hızlı Giriş Belgesi - Filtreler

Wireshark Filtreler
Son Güncelleme: Mar 19 2008




Tool
Tutorial
Ergonomy
Forum



Ayrıntılar Wireshark Nedir?
Ekran Görüntüleri
Gereklilikler
Kurulum
Wireshark Başlatımı
Platform
Filtreler
İstatistikler

Turkish translation by Çağdaş Tülek.



⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!


İlk Wireshark belgesinde de görülebileceği gibi ağ analizi yapmak için Wireshark’ı kurmak ve başlatmak gayet kolaydır.

Wireshark’ı halihazırdaki ayarlarla başlattığınızda en sık yaşayacağınız sorun ekranda çok fazla bilgi görecek olmanızdır. Bu yüzden aradığınız bilgiyi bulamayacaksınız.
Çok fazla bilgi bilgiyi öldürür.

İşte bu yüzden filtreler çok önemlidir ve bize bu bilgi kalabalığının arasından hedeflediğimiz bilgiye ulaşmamızda yardımcı olurlar.

-

-
 
Dinleme filtreleri: Kaydı tutulacak bilginin seçilmesinde kullanılırlar. Dinleme işlemine başlamadan önce tanımlanırlar.
Görüntüleme filtreleri: Dinleme sonrasında oluşan bilgi kayıtları üzerinde kullanılırlar. Dinleme işlemi sürerken değiştirilebilirler.
Peki dinleme filtrelerini mi görüntüleme filtrelerini mi kullanmalıyım?

İki filtreyle hedeflenenler farklıdır.
Dinleme filtresi, dinlenen verinin boyutunu sınırlamak ve böylece çok büyük veri kayıtlarının oluşmasını engellemek için kullanılır.
Görüntüleme filtresi çok daha güçlüdür (ve daha karmaşıktır); tam aradığınız veriyi bulmanıza olanak sağlar.

Bu iki filtrenin sözdizimi tamamen farklıdır. Devam eden sayfalarda sözdizimlerini göstereceğiz:



                       1. DİNLEME FİLTRELERİ            2. GÖRÜNTÜLEME FİLTRELERİ



1. DİNLEME FİLTRELERİ

Dinleme filtrelerinin sözdizimi, ünlü TCPdump gibi Lipcap (Linux) ya da Winpcap (Windows) kütüphanelerini kullanan yazılımlarınki ile aynıdır. Herhangi bir zamanda değişiklik yapılabilen görüntüleme filtrelerinin aksine dinleme filtreleri Wireshark dinleme işlemine başlamadan önce belirlenmelidir.

Bir dinleme filtresi ayarlamanın adımları şöyledir:
- Capture -> Options’ı seçiniz.
- Bundan sonraki dinleme işlemlerinizde kullanacağınız filtrenize “Capture Filter” alanını doldurarak ya da “Capture Filter” düğmesine tıklayarak bir isim veriniz.
- Dinlemeye başlamak için “Start” düğmesine basınız.

wireshark capture options

wireshark capture options

Sözdizim:
Protokol
Yön
Konakçı(lar)
Değer
Mantık İşlemleri
Diğer İfade
Örnek:
tcp
dst
10.1.1.1
80
and
tcp dst 10.2.2.2 3128
Protokol::
Değerler ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp ve udp.
Eğer bir protokol tanımlanmazsa tüm protokoller dinlenir.

Yön::
Değerler src, dst, src and dst, src ya da dst
Eğer hiçbir değer tanımlanmazsa “src or dst” değerleri kullanılır.
Örneğin “host 10.2.2.2”nin eşdeğeri “src or dst host 10.2.2.2”dir. Konakçı(lar):
Değerler net, port, host, portrange.
Hiçbir değer tanımlanmazsa “host” değeri kullanılır.
Örneğin “src 10.1.1.1”in eşdeğeri “src host 10.1.1.1”dir.

Mantık İşlemleri:
Değerler not, and, or.
Olumsuzluk değeri (“not”) en yüksek önceliğe sahiptir. Veya (“or”) ve Ve (“and”) değerlerinin eşit öncelikleri vardır ve soldan sağa doğru birleştirilirler.
Örnek,
“not tcp port 3128 and tcp port 23”ün eşdeğeri “(not tcp port 3128) and tcp port 23”tür.
"not tcp port 3128 and tcp port 23"ün eşdeğeri "not (tcp port 3128 and tcp port 23)"



Örnekler:

tcp dst port 3128
TCP port 3128’e yönlendirilen paketleri gösterir.

ip src host 10.1.1.1
Kaynak IP adresi 10.1.1.1 olan paketleri gösterir.

host 10.1.2.3
Kaynak ya da hedef IP adresi 10.1.1.1 olan paketleri gösterir.

src portrange 2000-2500
Kaynağı 2000 – 2500 arası UDP ya da TCP portları olan paketleri gösterir.

not imcp
icmp paketleri haricindeki tüm paketleri gösterir. (icmp tipik olarak ping aracı tarafından kullanılır)

src host 10.7.2.12 and not dst net 10.200.0.0/16
Kaynak IP adresi 10.7.2.12 olan ama hedef IP ağı 10.200.0.0/16 olmayan paketleri gösterir.

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8
Kaynak IP adresi 10.4.1.12 ya da kaynak ağı 10.6.0.0/16 olan paketlerden hedef TCP port aralığı 200 ile 10000 arasında olan ve hedef IP ağı 10.0.0.0/18 olan paketleri gösterir.



Notlar:

Anahtar kelimeler değer olarak kullanıldığında ters kesme işareti “\” kullanılır.
"ether proto \ip" (eşdeğeri “ip”).
IP protokolünü seçer.

"ip proto \icmp" (eşdeğeri “icmp”)
Genellikle ping aracı tarafından kullanılan icmp paketlerini seçer.

“multicast” ve “broadcasr” anahtar kelimeleri de “ip” ya da “ether” değerlerinden sonra kullanılabilir.
“no broadcast” tümegönderim isteklerini ayıklamak istediğinizde kullanılabilir.



Dinleme filtrelerinin sözdizimi için TCPdump kullanma klavuzuna bakınız.
Daha fazla dinleme filtresi örneği Wiki Wireshark websitesinde bulunabilir.

Sayfa Başı



2. GÖRÜNTÜLEME FİLTRELERİ:

Görüntüleme filtreleri, bir dinleme filtresi kullanılarak elde edilen kayıtlar üzerinde arama yapmak için kullanılır.
Dinleme filtrelerinden çok daha gelişmiş arama yeteneklerine sahiptirler ve görüntüleme filtresinde değişiklik yapmanız gerektiğinde kaydı baştan başlatmanız gerekmez.

Sözdizimi: Protokol.
Karakter Dizisi 1
.
Karakter Dizisi 2
Karşılaştırma Operatörü
Değer
Mantıksal İşlemler
Diğer İfadeler
Örnek:
ftp
passive
ip
==
10.2.3.4
xor
icmp.type
Protokol::

OSI iki ile yedi arasındaki tüm protokoller kullanılabilir. Bunlara ulaşmak için ana ekrandaki “Expression…” düğmesine basınız.
Birkaç örnek: IP,TCP,DNS,SSH

wireshark filter expression

wireshark filter expression

Kısa tanımlarıyla birlikte, desteklenen protokollere aşağıdaki gibi ulaşılabilir:

wireshark supported protocols

wireshark supported protocols

Wireshark websitesi protokoller ve bunların alt kategorileri ile ilgili açıklamalar içermektedir.

Karakter Dizisi 1, 2 (Ek değişkenler):

Protokol içindeki alt kategoriler.
Ulaşmak için bir protokol bulup yanındaki “+” işaretine tıklayınız.

wireshark filter expression

Karşılaştırma Operatörü:

Altı karşılaştırma operatörü bulunmaktadır:

İngilizce Format   C Benzeri Format:   Anlamı:
eq 
== 
Eşit
ne
!=
Eşit değil
gt
>
Daha büyük
lt
<
Daha küçük
ge
>=
Daha büyük ya da eşit
le
<=
Daha küçük ya da eşit
Mantıksal İfadeler:

İngilizce Format:   C Benzeri Format:   Anlamı:
and
&&
Mantıksal AND
or
||
Mantıksal VEYA
xor
^^
Mantıksal DIŞLAYAN VEYA
not
!
Mantıksal DEĞİL
Programcıların iyi bildiği mantıksal “XOR” dışlayan veya olarak kullanılır. Bir filtrede iki koşul arasında kullanıldığında sadece bir koşul doğru iken sonucu ekrana bastırır, “OR” ifadesindeki gibi koşullardan en az biri doğruyken filtrenin çalışması durumundan böylece farklıdır.
Aşağıdaki görüntüleme üzerinde bir örnek yapalım:
"tcp.dstport 80 xor tcp.dstport 1025"
Sadece hedefi 80 portu olan TCP paketleri ya da kaynağı 1025 portu olan TCP paketleri gösterilir (ama bu iki koşuldan sadece birisine uyanlar!).



Örnek:

snmp || dns || icmpSNMP, DNS ya da ICMP trafiklerini gösterir.
ip.addr == 10.1.1.1
Kaynak ya da hedef IP adresi 10.1.1.1 olan paketleri gösterir.

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
Kaynak IP adresi 10.1.2.3’ten farklı olan ya da hedef IP adresi 10.4.5.6’dan farklı olan paketleri gösterir.
Başka şekilde söylersek aşağıdaki şartları sağlayan paketler gösterilir:
Kaynak IP adresi: 10.1.2.3 haricinde herhangi bir şey, Hedef IP Adresi herhangi bir şey
ve
Kaynak IP adresi: herhangi bir şey, Hedef IP Adresi: 10.4.5.6 10.4.5.6 haricinde herhangi bir şey

ip.src != 10.1.2.3 and ip.dst != 10.4.5.6
Kaynak IP değeri 10.1.2.3’ten farklı olan ve aynı zamanda hedef IP değeri 10.4.5.6’dan farklı olan paketleri gösterir.
Başka şekilde söylersek aşağıdaki şartları sağlayan paketler gösterilir:
Kaynak IP adresi: 10.1.2.3 10.1.2.3 haricinde herhangi bir şey ve Hedef IP Adresi: 10.4.5.6 10.4.5.6 haricinde herhangi bir şey.

tcp.port == 25 TCP kaynak ya da hedef portu 25 olan paketleri göster.
tcp.dstport == 25Hedef TCP portu 25 olan paketleri göster.
tcp.flagsTCP işareti olan paketleri göster.
tcp.flags.syn == 0x02 TCP SYN işareti olan paketleri göster.
Eğer filtrenin sözdizimi doğruysa filtre yeşil ile eğer bir hata var ise kırmızıyla gösterilir.

wireshark display filter example Σωστή σύνταξη
wireshark display filter example Λάθος σύνταξη
Görüntüleme filtreleri ile ilgili tamamlayıcı bilgi Wireshark resmi websitesinde ya da Wireshark Wiki sitesinde bulunabilir.


Sayfa Başı