해킹 공격에 대한 와이어샤크(wireshark)필터 검색어

참고 링크 : http://www.sans.org/reading-room/whitepapers/detection/wireshark-guide-color-packets-35272

 

 

 

LAND Attack 검색

(ip.src == ip.dst) && (tcp.srcport == tcp.dstport || udp.srcport == udp.dstport)

 

NMAP 을 이용한 ICMP Echo Request with no data 검색

(ip.flags == 0x00) && (icmp.type == 8 && icmp.code == 0) && (icmp.seq == 0) && (not data)

 

NMAP 을 이용한 TCP SYN to port 443 검색

(ip.flags == 0x00) && (tcp.flags == 0x0002) && (tcp.dstport == 443)

 

NMAP 을 이용한 TCP ACK to port 80 검색

(ip.flags == 0x00) && (tcp.flags == 0x0010) && (tcp.dstport == 80)

 

NMAP 을 이용한 ICMP timestamp request without originate time 검색

(ip.flags == 0x00) && (icmp.type == 13 && icmp.code == 0) && (icmp.seq == 0) && (icmp[8:4] == 00:00:00:00) && (not data)

 

NMAP 을 이용한 TCP SYN Stealth Scan 검색

(ip.flags == 0x00) && (tcp.flags == 0x0002) && (tcp.option_kind == 2) && not (tcp.option_kind == 3 || tcp.option_kind ==4) 

 

NMAP 을 이용한 TCP Connect Scan 검색

(ip.flags == 0x02) && (tcp.flags == 0x0002) && (tcp.option_kind == 2 && tcp.option_kind ==3 && tcp.option_kind ==4 && tcp.option_kind ==8)

 

Directory Traversal 검색 (../)

(http.request.uri contains 2e:2e:2f:) || (frame contains 2e:2e:2f:)

 

exe 확장자 파일 검색

frame contains ".exe"

 

PCRE 를 이용하여 FTP 통신에 특정 확장자 파일 검색

ftp matches "\.(?i)(exe|zip|7z|gz|tar|pdf|doc|xls)"

 

PCRE 를 이용하여 URI 에 특정 확장자 파일 검색

http.request.uri matches "\.(?i)(exe|zip|7z)"

 

PCRE 를 이용하여 /etc/passwd (또는 /etc/shadow) 에 저장된 문자열 검색

frame and (data.data matches "^[a-zA-Z0-9]+:" || data-text-lines matches "^[a-zA-Z0-9]+:")

 

실행 파일 검색

frame matches "(\x4d\x5a\x90|\x4d\x5a\x50)" && frame matches "(?i)this program"

 

SMTP 첨부 파일 검색

(base64 로 인코딩된 데이터을 저장한 후 디코딩 시킬 것!)

smtp matches "(?i)(Content-Transfer-Encoding: base64|attachment)"