BT Güvenlik Test

Posts Tagged ‘how to’

Ağ üzerinden pasif veri yedekleme aracı:tcpxtract

tcpxtract Linux/UNIX sistemlerde data carving amaclı kullanılan açık kod bir yazılımdır. Daha çok adli bilişim analiz çalışmalarında kullanılır. Bu yazılımı ağ üzerinde tüm trafiği görecek şekilde konumlandırılıp(SPAN portu, TAP cihazı kullanarak ) trafik içerisinde geçen dosyaların orjinal hallerini diske kaydedebilirsiniz. Mesela şirket ağından dışarıya gönderilen ofis dosyaları, internetten indirilen resim, muzik ve görsel medyaların bir kopyasını almak için tcpxtract kullanılabilir. 

Tcpxtract kullanarak akan trafikten anlık olarak olarak verileri yedekleyebileceği gibi pcap formatında kaydedilmiş(tcpdump, Wireshark vs) paketler içerisinden de orjinal verileri ayıklamak için kullanılabilir.

Tcpxtract ile akan trafikten veri ayıklama

parametre olarak trafiğin geçtiği arabirim verilirse o arabiri üzerinden geçen ve konfigurasyon dosyasında belirtilen tüm dosyalar diske kaydedilir.

# tcpxtract -d eth0
Found file of type “pdf” in session [91.93.119.80:20480 -> 10.2.1.13:7111], exporting to 00000000.pdf


Tcpdump ile kaydedilmis trafik uzerinden veri ayıklama

# tcpdump -i eth0 -s0 tcp port 80 -w file
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C634 packets captured
634 packets received by filter
0 packets dropped by kernel

tcpdump ile kaydedilen paketler tcpxtract’a parametre olarak verilirse içeriğinden istenen dosyalar ayıklanabilir

# tcpxtract -f file
Found file of type “pdf” in session [91.93.119.80:20480 -> 10.200.169.163:2979], exporting to 00000000.pdf

Detay bilgi almak ve bu yazılımı denemek isterseniz http://tcpxtract.sourceforge.net/ adresi işinizi görecektir.

Kaynak: http://www.lifeoverip.net/newsletter/sayi01/

Yazılım adı         :Medusa
İndirme adresi    :http://www.foofus.net/?cat=4
İşlevi                : Network servislerine yönelik bruteforce(Kaba kuvvet) testleri
Ortamı              : Linux/UNIX

Güvenlik testlerinin önemli konularından biri de bruteforce parola saldırılardır. Özellikle hedef sistemlerde herhangi bir açık bulunamıyorsa ve dışarıya açık login servisi sunuluyorsa bruteforce saldırıları kaçınılmaz olur.

Network üzerinden yapılan bruteforce denemelerinde en önemli nokta yazılımın paralel denemeler yapabilmesi ve modüler yapıda(çokça sayıda network servisini destekleme) olmasıdır.

Network üzerinden yapılacak brute force denemeleri içi çeşitli yazılımlar var. Bunlardan en günceli ve özellik olarak en zengini Medusa’dır.  Medusa ve diğer bruteforce yazılımlarının güncel karşılaştırma tablosu için http://foofus.net/jmk/medusa/medusa-compare.html  adresi incelenmelidir.

Medusa Kurulumu

#apt-get install medusa      //Debian/Ubuntu Linux dağıtımları için

sonrasinda hangi parametreleri aldigini ve yardim menusunu goruntulemek için komut satırından medusa yazilir.

root@elmasekeri:~# medusa
Medusa v1.4 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net>

….

Medusa’nin moduler yapısı sayesinde bilinen çoğu network servisine yönelik bruteforce denemeleri yapılabilir. Desteklenen modullerin neler oldugunu gormek icin -d parametresi kullanilir.

root@elmasekeri:~# medusa -d
Medusa v1.4 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net>

  Available modules in “/usr/lib/medusa/modules” :
    + cvs.mod : Brute force module for CVS sessions : version 1.0.0
    + ftp.mod : Brute force module for FTP/FTPS sessions : version 1.3.0
    + http.mod : Brute force module for HTTP : version 1.3.0
    + imap.mod : Brute force module for IMAP sessions : version 1.1.0
    + mssql.mod : Brute force module for M$-SQL sessions : version 1.1.1
    + mysql.mod : Brute force module for MySQL sessions : version 1.2
    + ncp.mod : Brute force module for NCP sessions : version 1.0.0
    + nntp.mod : Brute force module for NNTP sessions : version 0.9
    + pcanywhere.mod : Brute force module for PcAnywhere sessions : version 1.0.2
    + pop3.mod : Brute force module for POP3 sessions : version 1.1.1

Herhangi bir module ait ek parametreler  dogrudan ekranda gozukmez. Ilgili module ait ek parametreleri ogrenmek için medusa -M modül_ismi -q parametreleri kullanılır.

root@elmasekeri:~#medusa -M web-form -q

Available module options:
  USER-AGENT:?       User-agent value. Default: “I’m not Mozilla, I’m Ming Mong”.
  FORM:?             Target form to request. Default: “/”
  DENY-SIGNAL:?      Authentication failure message. Attempt flagged as successful if text is not present in

Medusa kullanarak SSH brute force denemesi

root@elmasekeri:~# medusa -M ssh -m BANNER:SSH-2.0-MEDUSA -h localhost -u huzeyfe -P wordlist  
Medusa v1.4 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net>

ACCOUNT CHECK: [ssh] Host: 127.0.0.1 (1/1) User: huzeyfe (1/1) Password: a (1/26125)
ACCOUNT CHECK: [ssh] Host: 127.0.0.1 (1/1) User: huzeyfe (1/1) Password: aba (2/26125)
ACCOUNT CHECK: [ssh] Host: 127.0.0.1 (1/1) User: huzeyfe (1/1) Password: abaci (3/26125)
ERROR: Failed to retrieve supported authentication modes. Aborting…
ERROR: No supported authentication methods located.
ACCOUNT CHECK: [ssh] Host: 127.0.0.1 (1/1) User: huzeyfe (1/1) Password: abacilik (4/26125)

Kaynak: http://www.lifeoverip.net/newsletter/sayi03/

Yazılım adı         :P0f
İndirme adresi    :http://lcamtuf.coredump.cx/p0f.shtml
İşlevi                : Pasif işletim sistemi  belirleme aracı
Ortamı              : Linux/UNIX/Windows

p0f network üzerinden dinleme yaparak gelip giden paketlerden paketleri gönderen sistemlerin hangi işletim sistemine sahip olduğunu belirlemek için kullanılan bir araçtır. İşletim sistemi yanında hedef sistemin uptime süresi, varsa load balancer firewall gibi ek cihazları da belirleyebilir.

Genellikle işletim sistemi belirleme için Nmap, Nessus, Xprobe gibi araçlar kullanılır, bu araçların ortak özelliği hedef sisteme çeşitli özel paketler göndererek dönen cevaplardan işletim sistemini belirlemektir. Bu tip bir belirleme yönteminde hedef sistem önünde bulunan IDS/IPS gibi sistemlere yakalanma oranı yüksektir. P0f ise hedef sisteme herhangi bir paket göndermeden sadece dinleme modunda işletim sistemi saptama yapar.

[root@vps-fw ~]# p0f
p0f - passive os fingerprinting utility, version 2.0.8
(C) M. Zalewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com>
p0f: listening (SYN) on ‘rl0′, 262 sigs (14 generic, cksum 0F1F5CA2), rule: ‘all’.
216.9.253.87:33269 - Linux 2.6, seldom 2.4 (older, 4) (NAT!) (up: 1762 hrs)
  -> 10.10.10.2:110 (distance 18, link: GPRS, T1, FreeS/WAN)
189.74.181.188:18221 - Windows 2000 SP2+, XP SP1+ (seldom 98)
  -> 91.93.119.80:25 (distance 13, link: pppoe (DSL))
200.164.86.74:61665 - Windows 2000 SP4, XP SP1+
  -> 91.93.119.80:25 (distance 14, link: ethernet/modem)
122.161.82.83:2453 - Windows 2000 SP4, XP SP1+
  -> 91.93.119.80:25 (distance 15, link: pppoe (DSL))
77.121.0.19:3336 - Windows 2000 SP4, XP SP1+
  -> 91.93.119.80:25 (distance 10, link: ethernet/modem)
115.161.223.153:3058 - Windows XP/2000 (RFC1323+, w+, tstamp+) [GENERIC]
  Signature: [65535:110:1:64:M1460,N,W3,N,N,T0,N,N,S:.:Windows:?]
  -> 91.93.119.80:25 (distance 18, link: ethernet/modem)
91.93.119.80:54291 - UNKNOWN [65535:63:1:48:M1460,S,E:P:?:?]
  -> 208.184.224.88:25 (link: ethernet/modem)
59.184.152.171:3761 - Windows 2000 SP2+, XP SP1+ (seldom 98)
  -> 91.93.119.80:25 (distance 15, link: (Google/AOL))
189.243.35.233:3821 - Windows 2000 SP2+, XP SP1+ (seldom 98)
  -> 91.93.119.80:25 (distance 10, link: pppoe (DSL))
65.55.34.208:45597 - Windows 2000 SP4, XP SP1+
  -> 91.93.119.80:25 (distance 10, link: ethernet/modem)
91.93.119.80:62738 - UNKNOWN [65535:63:1:48:M1460,S,E:P:?:?]
  -> 207.246.196.124:25 (link: ethernet/modem)
91.93.119.80:62928 - UNKNOWN [65535:63:1:60:M1460,N,W3,S,T:.:?:?] (up: 5500 hrs)
  -> 155.223.64.165:25 (link: ethernet/modem)
65.55.90.112:20018 - Windows 2000 SP4, XP SP1+
  -> 91.93.119.80:25 (distance 11, link: ethernet/modem)

^C+++ Exiting on signal 2 +++
[+] Average packet ratio: 190.91 per minute.

#p0f -V  ‘tcp  port 80′

istenirse ” arasında bpf sentaksına  uygun filtreler yazılarak da kullanılabilir.

İşletim sistemine göre firewall kuralı yazma

Packet Filter güvenlik duvarında işletim sistemine göre kural yazma esnekliği vardır. Bu özellik p0f’dan esinlenerek yazılmıştır. İşletim sistemine göre kural yazarak ağınızda bulunan eski tip işletim sistemlerinin internete çıkışını engelleyebilirsiniz.

Güvenlik duvarıyla birlikte kullanılırken dikkat edilmesi gereken en önemli husus p0f çıktılarının doğruluğudur. Yani Windows 2000 sistemleri yasaklayacağım derken Windows 2003 sistemleri engellemek işimize gelmez. Bu konuda p0f’un güveenilirliği %99 üzerinde olsa da kritik sistemlerde engelleme değil sadece loglama amaçlı kullanılmalıdır.

Aşağıdaki firewalll kuralı işletim sistemi Windows 2000 olan ve SMTP bağlantısı yapmaya çalışan sistemleri bloklamaktadır.

block in on $ext_if proto tcp from any os “Windows 2000″ to $ext_if port 25

Alternatif araçlar: Ettercap, Network Miner

Kaynak: http://www.lifeoverip.net/newsletter/sayi04/

Yazılım adı              :Theharvester
İndirme adresi        :http://www.edge-security.com/theHarvester.php
Kategori                 : Bilgi toplama
Ortam                    :Linux/Windows
İşlevi                     : Google, msn, pgp, linkedin gibi ortamlardan belirli domainlere ait e-postaları bulmak için kullanılan küçük ama faydalı bir scriptdir.

Günümüz siber güvenlik tehditlerinin büyük bir çoğunluğu son kullanıcıları hedef almaktadır. Sunucu sistemler ve ağ sistemlerinde alınan önlemler saldırganları büyük oranda durdurabildiği için hackerlar istemcileri avlayarak onların üzerinden şirket ağlarına sızmayı denemektedirler.

Kullanıcıları avlamanın en kolay yolu da onların e-postalarına çeşitli yem mailler göndererek belirli linklere tıklamalarını sağlamak ya da gönderilen dosyaları açmalarını sağlamak(PDF, Ppt, doc vs)tır. Bundan sonrası hackerin becerilerine ve kullandığı yazılımlara bağlı olarak değişecektir.

Sadece şunu söylemekle yetinelim, tıkladığınız bir link ya da müdürünüzden geliyormuş gibi gözüken bir pdf, ofis dosyasını açmaya çalışmanız bilgisayarınızı bir zombi haline getirebilir, iç ağınıza sızılmasına sebep olabilir. Kullanıcı bilgisayarlarında yüklü olan antivirüs programları bu tip zararlı kodları engellemekte malesef çok yetersiz kalmaktadır.

Risk bu kadar büyük olunca güvenlik testlerinde(penetrasyon testleri) artık istemci testleri önemli yer tutmaya başladı. İstemci testleri yapmanın en temel adımı onlar hakkında bilgi toplamak olacaktır ve bunun ilk adımı da e-posta adreslerinin bulunmasıdır. Bu haftaki yazılımımız olan theharvester tam bu iş için biçilmiş kaftan diyebiliriz. bizim adımıza bir domaine ait e-postaları arama motorları vasıtasıyla bularak raporlar.

Theharvester Kurulumu

# wget http://www.edge-security.com/soft/theHarvesterv1.4b.tar
# tar xvf theHarvesterv1.4b.tar
# cd theHarvesterv1.4

Kullanım

theharvester scriptini kullanmadan önce çalıştırma izni verilmesi gerekmektedir. chmod +x komutuyla çalışma izni verildikten sonra

# chmod +x theHarvester.py

aşağıdaki komutla script çalıştırılabilir.

# ./theHarvester.py

*************************************
*TheHarvester Ver. 1.4b             *
*Coded by Christian Martorella      *
*Edge-Security Research             *
*cmartorella@edge-security.com      *
*************************************Usage: theharvester options

Çıktıdan da görüleceği gibi theharvester’in kullanımı oldukça basittir. Hangi arama motorunda hangi domaine ait e-postaları bulmak istediğimizi

söylememiz yeterli olacaktır. Burada dikkat edilmesi gereken husus -l parametresi ile belirtilecek limit değeridir. Bu değer arama motorlarından

dönen cevaplardan kaç tanesinde e-posta arama yapılacağını belirler. Bu değeri yüksek tutmak her zaman daha geniş sonuçlar almamız yol açar, aynı

zamanda sonuç alma süresini uzatır.

# ./theHarvester.py -d linux.org.tr  -l 1000 -b google

*************************************
*TheHarvester Ver. 1.4b             *
*Coded by Christian Martorella      *
*Edge-Security Research             *
*cmartorella@edge-security.com      *
*************************************Searching for linux.org.tr in google :
======================================

Kaynak: http://www.lifeoverip.net/newsletter/sayi06/

Tshark, güçlü bir ağ protokolleri analiz programıdır. Tshark komut satırından çalışır ve yine bir ag trafik analiz programı olan Wireshark’da bulunan  çoğu özelliği destekler.

Komut satırından çalışan ve çok bilinen diğer bir trafik analiz aracı da tcpdump’dır.

Tshark ile tcpdump’ın ayrıldığı en belirgin nokta Tshark’ın trafik analizinde protokolleri tanıyabilmesi ve bunları detaylı bir şekilde gösterebilmesidir. Aşağıda vereceğim örneklerde
protokol tanımanın ne manaya geldiği daha iyi anlaşılacaktır. Kişisel olarak Tshark’ı imkanım olduğu ortamlarda tcpdump’a tercih ediyorum.

Bu ikili, networking konuları ile ilgilenen herkesin a-z’ye bilmesinde fayda olan araçlardır.

Basit Tshark Kullanımı

tshark, çeşitli işlevleri olan bir sürü parametreye sahiptir. Eğer herhangi bir paramnetre kullanmadan çalıştırılırsa ilk aktif ağ arabirimi üzerinden geçen trafiği yakalayıp ekrana basar.

home-labs ~ # tshark
Running as user “root” and group “root”. This could be dangerous.
Capturing on eth0
0.000000 192.168.2.23 -> 80.93.212.86 ICMP Echo (ping) request
0.012641 80.93.212.86 -> 192.168.2.23 ICMP Echo (ping) reply
0.165214 192.168.2.23 -> 192.168.2.22 SSH Encrypted request packet len=52
0.165444 192.168.2.22 -> 192.168.2.23 SSH Encrypted response packet len=52
0.360152 192.168.2.23 -> 192.168.2.22 TCP pcia-rxp-b > ssh [ACK] Seq=53 Ack=53 Win=59896 Len=0
0.612504 192.168.2.22 -> 192.168.2.23 SSH Encrypted response packet len=116
1.000702 192.168.2.23 -> 80.93.212.86 ICMP Echo (ping) request
1.013761 80.93.212.86 -> 192.168.2.23 ICMP Echo (ping) reply
1.057335 192.168.2.23 -> 192.168.2.22 SSH Encrypted request packet len=52
16 packets captured

Eğer çıktıların ekrana değil de sonradan analiz için  bir dosyaya yazdırılması isteniyorsa -w dosya_ismi parametresi kullanılır.

# tshark -w home_labs.pcap
Running as user “root” and group “root”. This could be dangerous.
Capturing on eth0

24

Gerektiğinde home_labs.pcap dosyası libpcap destekli herhangi bir analiz programı tarafından okunabilir. tshark ya da tcpdump ile kaydedilen dosyadan paket okumak
için -r parametresi kullanılır.

Arabirim Belirtme

İstediğiniz arabirim üzerinden dinleme yapılması istenirse -i arabirim_ismi parametresi kullanılır.

#tshark -i eth12
gibi.

-n parametresi ile de host isimlerinin ve servis isimlerinin çözülmemesi sağlanır.

Detaylı Paket Çıktısı

Paketleri ekrandan izlerken ilgili protokole ait tüm detayları görmek için -V parametresi kullanılabilir.

Mesela udp 53(DNS) paketlerini detaylı çıktısını incelyelim.

home-labs#thsark -i eth0 udp port 53
Frame 2 (100 bytes on wire, 100 bytes captured)
Arrival Time: Jan 17, 2009 11:54:34.174323000
[Time delta from previous captured frame: 0.001332000 seconds]
[Time delta from previous displayed frame: 0.001332000 seconds]
[Time since reference or first frame: 0.001332000 seconds]
Frame Number: 2
Frame Length: 100 bytes
Capture Length: 100 bytes
[Frame is marked: False]
[Protocols in frame: eth:ip:udp:dns]
Ethernet II, Src: Arcadyan_a7:22:5c (00:1a:2a:a7:22:5c), Dst: Giga-Byt_5a:1b:96 (00:1f:d0:5a:1b:96)
Destination: Giga-Byt_5a:1b:96 (00:1f:d0:5a:1b:96)
Address: Giga-Byt_5a:1b:96 (00:1f:d0:5a:1b:96)
…. …0 …. …. …. …. = IG bit: Individual address (unicast)
…. ..0. …. …. …. …. = LG bit: Globally unique address (factory default)
Source: Arcadyan_a7:22:5c (00:1a:2a:a7:22:5c)
Address: Arcadyan_a7:22:5c (00:1a:2a:a7:22:5c)
…. …0 …. …. …. …. = IG bit: Individual address (unicast)
…. ..0. …. …. …. …. = LG bit: Globally unique address (factory default)
Type: IP (0×0800)
Internet Protocol, Src: 192.168.2.1 (192.168.2.1), Dst: 192.168.2.23 (192.168.2.23)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0×00 (DSCP 0×00: Default; ECN: 0×00)
0000 00.. = Differentiated Services Codepoint: Default (0×00)
…. ..0. = ECN-Capable Transport (ECT): 0
…. …0 = ECN-CE: 0
Total Length: 86
Identification: 0×0000 (0)
Flags: 0×04 (Don’t Fragment)
0… = Reserved bit: Not set
.1.. = Don’t fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: UDP (0×11)
Header checksum: 0xb52e [correct]
[Good: True]
[Bad : False]
Source: 192.168.2.1 (192.168.2.1)
Destination: 192.168.2.23 (192.168.2.23)
User Datagram Protocol, Src Port: domain (53), Dst Port: blueberry-lm (1432)
Source port: domain (53)
Destination port: blueberry-lm (1432)
Length: 66
Checksum: 0×2a35 [correct]
[Good Checksum: True]
[Bad Checksum: False]
Domain Name System (response)
[Request In: 1]
[Time: 0.001332000 seconds]
Transaction ID: 0×0001
Flags: 0×8100 (Standard query response, No error)
1… …. …. …. = Response: Message is a response
.000 0… …. …. = Opcode: Standard query (0)
…. .0.. …. …. = Authoritative: Server is not an authority for domain
…. ..0. …. …. = Truncated: Message is not truncated
…. …1 …. …. = Recursion desired: Do query recursively
…. …. 0… …. = Recursion available: Server can’t do recursive queries
…. …. .0.. …. = Z: reserved (0)
…. …. ..0. …. = Answer authenticated: Answer/authority portion was not authenticated by the server
…. …. …. 0000 = Reply code: No error (0)
Questions: 1
Answer RRs: 1
Authority RRs: 0
Additional RRs: 0
Queries
1.2.168.192.in-addr.arpa: type PTR, class IN
Name: 1.2.168.192.in-addr.arpa
Type: PTR (Domain name pointer)
Class: IN (0×0001)
Answers
1.2.168.192.in-addr.arpa: type PTR, class IN, RT
Name: 1.2.168.192.in-addr.arpa
Type: PTR (Domain name pointer)
Class: IN (0×0001)
Time to live: 2 hours, 46 minutes, 40 seconds
Data length: 4
Domain name: RT

Benzer bir paketin tcpdump ile görüntüsü aşağıdaki gibi olacaktır. Her iki çıktıdan da görüleceği gibi Tshark ile protokol ve katmanlara ait tüm detaylar çözümlenirken tcpdump’da sadece özet bilgiler yer alır.

# tcpdump -i eth0 -n udp port 53 -vv
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

11:57:12.096474 IP (tos 0×0, ttl 128, id 21291, offset 0, flags [none], proto UDP (17), length 59) 192.168.2.23.1446 > 192.168.2.1.53: [udp sum ok] 2+ A?

www.linux.com. (31)
11:57:12.820246 IP (tos 0×0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 215) 192.168.2.1.53 > 192.168.2.23.1446: 2 q: A? www.linux.com. 2/3/3

www.linux.com. CNAME linux.com., linux.com.[|domain]

Tshark’da Filtreler

Tshark aynı Wireshark’da olduğu gibi iki çeşit filtreleme özelliğine sahiptir. Bunlardan biri trafik yakalama esnasında kullanılan ve tcpdump ile hemen hemen aynı
özelliklere(Berkley Paket Filter) sahip olan capture filter, diğeri de yakalanan trafik üzerinde detaylı analiz yapmaya yarayan Display filter dır.
Display filterlar aynı zamanda paket yakalama esnasında da kullanılabilir.

Display filter Kavramı

Display filter özelliği ile Tshark çözümleyebildiği protokollere ait tüm detayları gösterebilir ve sadece bu detaylara ait paketleri yakalamaya yardımcı olur. Mesela
amacımız tüm dns trafiği değil de dns trafiği içerisinde sadece www.lifeoverip.net domainine ait sorgulamaları yakalamak istersek aşağıdaki gibi bir filtreleme işimize yarayacaktır.

Note: Display Filter için  -R ‘filtreleme detayı’ seçeneği kullanılır.

# tshark -i eth0 -n -R ‘dns.qry.name==www.lifeoverip.net’
Running as user “root” and group “root”. This could be dangerous.
Capturing on eth0
11.467730 192.168.2.23 -> 192.168.2.1  DNS Standard query A www.lifeoverip.net
13.467968 192.168.2.23 -> 192.168.2.1  DNS Standard query A www.lifeoverip.net
17.936486 192.168.2.23 -> 192.168.2.1  DNS Standard query A www.lifeoverip.net
17.938038  192.168.2.1 -> 192.168.2.23 DNS Standard query response A 80.93.212.86

Böylece normal snifferlarda sadece udp 53′u dinleyerek bulmaya çalıştığımız detaylar Tshark ile kolayca belirtilebiliyor.

Display Filterlari akılda tutmak ya da ilgili protokole ait tüm detayları bilmek zor olabilir. Bunun için gerektiğinde başvurulacak sağlam bir kaynak var: wireshark
Display Filter Reference. Bu adresten ilgili protokole ait desteklenen tüm filtrelemeler incelenebilir.

Örnek: HTTP trafiği içerisinde GET, PUT ve OPTIONS kullanılan istekleri yakalama.

home-labs#tshark -i eth0 -n -R ‘http.request.method contains GET or http.request.method contains PUT or http.request.method contains OPTIONS’

Running as user “root” and group “root”. This could be dangerous.
Capturing on eth0
7.571543 192.168.2.22 -> 80.93.212.86 HTTP OPTIONS / HTTP/1.111
14.925700 192.168.2.22 -> 80.93.212.86 HTTP GET / HTRTP/1.1

Bir TCP Bağlantısına ait başlangıç ve bitiş  paketlerini yakalama

İçerisinde SYN veya FIN bayrağı set edilmiş paketleri yakalamak için

# tshark -n -R ‘tcp.port==80 and tcp.flags.fin==1 or tcp.flags.syn==1′
Running as user “root” and group “root”. This could be dangerous.
Capturing on eth0
1.245831 192.168.2.22 -> 80.93.212.86 TCP 36566 > 80 [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=2759271 TSER=0 WS=5
1.259797 80.93.212.86 -> 192.168.2.22 TCP 80 > 36566 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1452 WS=1 TSV=2754203455 TSER=2759271
3.966800 80.93.212.86 -> 192.168.2.22 TCP 80 > 36566 [FIN, ACK] Seq=212 Ack=11 Win=66240 Len=0 TSV=2754206160 TSER=2759947
3.966919 192.168.2.22 -> 80.93.212.86 TCP 36566 > 80 [FIN, ACK] Seq=11 Ack=213 Win=6912 Len=0 TSV=2759952 TSER=2754206160

Filtrelemelerde kullanılacak operatörler(==, !=, contains, vs) için http://www.wireshark.org/docs/dfref/ adresi incelenebilir.

Kaynak: http://blog.lifeoverip.net/2009/01/17/thsark-ile-tcpip-paket-analizi/