So verwenden Sie Bildschirmfilter in Wireshark

Wireshark ist ein GUI-basierter Netzwerkpaketanalysator, mit dem Sie Paketdaten aus einem Live-Netzwerk und einer zuvor erfassten Datei überprüfen können. Obwohl es sich um ein sehr leistungsfähiges Tool handelt, besteht ein häufiges Problem für Neulinge darin, dass es so viele Daten anzeigt, dass es für sie sehr schwierig ist, genau zu bestimmen, nach welchen Informationen sie suchen. Hier helfen die Bildschirmfilter von Wireshark.

Notiz - Wenn Sie ganz neu bei Wireshark sind, empfehlen wir Ihnen, zuerst das Tutorial zu lesen BASIC .

Index
  1. Filter anzeigen
  2. 1. Filtert Informationen nach Protokoll
  3. 2. Filtert die Informationen nach IP-Adresse
  4. 3. Filtern Sie die Informationen nach Port
  5. 4. Einige andere nützliche Filter
  6. Abschluss

Filter anzeigen

Hier ist ein Beispiel für die Live-Aufnahme in Wireshark:

Beachten Sie, dass ein Großteil der GUI verwendet wird, um Informationen (wie Zeit, Quelle, Ziel und mehr) über alle ein- und ausgehenden Pakete anzuzeigen. Um diese Informationen nach Ihren Bedürfnissen zu filtern, müssen Sie das Filterfeld oben im Fenster verwenden.

1. Filtert Informationen nach Protokoll

Um die Ergebnisse nach einem bestimmten Protokoll zu filtern, geben Sie seinen Namen in das Filterfeld ein und drücken Sie die Eingabetaste. Der folgende Screenshot zeigt beispielsweise Informationen zum HTTP-Protokoll:

Beachten Sie, dass die Spalte Protokoll nur HTTP-Einträge enthält. Wenn mehr als eine Protokollinformation erforderlich ist, geben Sie die Protokollnamen getrennt durch einen doppelten vertikalen Strich (oder einen logischen ODER-Operator) ein |||. Hier ist ein Beispiel:

http || arp || icmp

2. Filtert die Informationen nach IP-Adresse

Um die Ergebnisse basierend auf der Quell-IP zu filtern, verwenden Sie den ip.src-Filter. Hier ist ein Beispiel:

ip.src==50.116.24.50

Verwenden Sie ebenfalls ip.dst, um die Ergebnisse basierend auf der Ziel-IP-Adresse zu filtern. Um die Quell- und Zielpakete mit einer bestimmten IP anzuzeigen, verwenden Sie den Filter ip.addr. Hier ist ein Beispiel:

ip.addr==50.116.24.50

Beachten Sie, dass Pakete mit der Quell- oder Ziel-IP-Adresse wie 50.116.24.50 in der Ausgabe angezeigt werden.

Um Pakete mit einer bestimmten IP-Adresse auszuschließen, verwenden Sie den Operator! Hier ist ein Beispiel:

ip.src!=50.116.24.50

3. Filtern Sie die Informationen nach Port

Sie können den erfassten Datenverkehr auch basierend auf Netzwerkports filtern. Um beispielsweise nur Pakete anzuzeigen, die TCP-Quell- oder -Zielport 80 enthalten, verwenden Sie den tcp.port-Filter. Hier ist ein Beispiel:

tcp.port==80

Auf ähnliche Weise können Sie tcp.srcport und tcp.dstport verwenden, um die Ergebnisse basierend auf den Quell- bzw. Ziel-TCP-Ports separat zu filtern.

Wireshark hat auch die Möglichkeit, Ergebnisse basierend auf TCP-Flags zu filtern. Um beispielsweise TCP-Pakete anzuzeigen, die das SYN-Flag enthalten, verwenden Sie den Filter tcp.flags.syn. Hier ist ein Beispiel:

Ebenso können Sie die Ergebnisse auch basierend auf anderen Indikatoren wie ACK, FIN und anderen filtern, indem Sie Filter wie tcp.flags.ack, tcp.flags.fin und andere verwenden.

4. Einige andere nützliche Filter

Wireshark zeigt die Daten eines (derzeit ausgewählten) Pakets am unteren Rand des Fensters an. Manchmal ist es beim Debuggen eines Problems erforderlich, Pakete basierend auf einer bestimmten Bytefolge zu filtern. Dies können Sie ganz einfach mit Wireshark tun.

Zum Beispiel können TCP-Pakete, die die Sequenz 00 00 00 01 Bytes enthalten, wie folgt gefiltert werden:

tcp contiene 00:00:01

Als nächstes können Sie die Ergebnisse genauso wie Sie die Ergebnisse nach IP-Adressen filtern (oben erklärt), auch die Ergebnisse nach MAC-Adressen filtern, indem Sie den eth.addr-Filter verwenden. Um beispielsweise den gesamten ein- und ausgehenden Datenverkehr einer Maschine mit einer Mac-Adresse anzuzeigen, zum Beispiel AA: BB: CC: DD: EE: FF, verwenden Sie den folgenden Filterbefehl:

eth.addr == AA:BB:CC:DD:EE:FF

Abschluss

Wir haben hier kaum an der Oberfläche gekratzt, denn Wireshark hat so viel mehr zu bieten. Weitere Informationen zu Wireshark-Anzeigefiltern finden Sie auf der offiziellen Wireshark-Website oder auf der Wireshark-Wiki-Website Wiki Wireshark-Site . Wenn Sie Fragen oder Bedenken haben, hinterlassen Sie unten einen Kommentar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Go up