So verwenden Sie Anzeigefilter in Wireshark
Wireshark ist ein GUI-basierter Netzwerkpaketanalysator, mit dem Sie Paketdaten aus einem Live-Netzwerk sowie aus einer zuvor erfassten Datei überprüfen können. Obwohl es sich um ein sehr leistungsstarkes Tool handelt, besteht ein häufiges Problem für Neulinge darin, dass so viele Daten angezeigt werden, dass es für sie wirklich schwierig wird, die tatsächlich gesuchten Informationen zu finden. Hier helfen die Anzeigefilter von Wireshark.
Notiz – Wenn Sie Wireshark zum ersten Mal verwenden, empfiehlt es sich, zunächst das grundlegende Tutorial durchzugehen.
Anzeigefilter
Hier ist ein Beispiel für eine Live-Aufzeichnung in Wireshark:
Beachten Sie, dass ein Großteil der GUI dazu dient, Informationen (wie Zeit, Quelle, Ziel usw.) über alle eingehenden und ausgehenden Pakete anzuzeigen. Um diese Informationen nach Ihren Anforderungen zu filtern, müssen Sie das Filterfeld oben im Fenster verwenden.
1. Informationen nach Protokoll filtern
Um die Ergebnisse nach einem bestimmten Protokoll zu filtern, geben Sie einfach dessen Namen in das Filterfeld ein und drücken Sie die Eingabetaste. Der folgende Screenshot zeigt beispielsweise Informationen zum HTTP-Protokoll:
Beachten Sie, dass die Spalte „Protokoll“ nur HTTP-Einträge enthält. Wenn Informationen zu mehr als einem Protokoll erforderlich sind, geben Sie die Protokollnamen durch ein doppeltes Pipe-Zeichen (oder einen logischen ODER-Operator) || getrennt ein. Hier ist ein Beispiel:
2. Filtern Sie Informationen basierend auf der IP-Adresse
Um Ergebnisse basierend auf der Quell-IP zu filtern, verwenden Sie den Filter ip.src. Hier ist ein Beispiel:
Verwenden Sie ip.dst auf ähnliche Weise, um Ergebnisse basierend auf der Ziel-IP-Adresse zu filtern. Um sowohl Quell- als auch Zielpakete mit einer bestimmten IP anzuzeigen, verwenden Sie den Filter ip.addr. Hier ist ein Beispiel:
Beachten Sie, dass in der Ausgabe die Pakete mit der Quell- oder Ziel-IP-Adresse 50.116.24.50 angezeigt werden.
Um Pakete mit einer bestimmten IP-Adresse auszuschließen, verwenden Sie den Operator !=. Hier ist ein Beispiel:
3. Filtern Sie Informationen basierend auf dem Port
Sie können den erfassten Datenverkehr auch nach Netzwerkports filtern. Um beispielsweise nur die Pakete anzuzeigen, die TCP-Quell- oder Zielport 80 enthalten, verwenden Sie den Filter tcp.port. Hier ist ein Beispiel:
In ähnlicher Weise können Sie tcp.srcport und tcp.dstport verwenden, um die Ergebnisse jeweils separat nach TCP-Quell- und Zielports zu filtern.
Wireshark kann Ergebnisse auch anhand von TCP-Flags filtern. Um beispielsweise TCP-Pakete anzuzeigen, die ein SYN-Flag enthalten, verwenden Sie den Filter tcp.flags.syn. Hier ist ein Beispiel:
Auf ähnliche Weise können Sie die Ergebnisse auch basierend auf anderen Flags wie ACK, FIN usw. filtern, indem Sie Filter wie tcp.flags.ack, tcp.flags.fin usw. verwenden.
4. Einige andere nützliche Filter
Wireshark zeigt die in einem Paket (das aktuell ausgewählt ist) enthaltenen Daten unten im Fenster an. Manchmal ist es beim Debuggen eines Problems erforderlich, Pakete basierend auf einer bestimmten Bytefolge zu filtern. Mit Wireshark können Sie das ganz einfach tun.
Beispielsweise können TCP-Pakete, die die Bytefolge 00 00 01 enthalten, auf folgende Weise gefiltert werden:
Weiter geht es: So wie Sie Ergebnisse basierend auf IP-Adressen filtern können (wie zuvor erklärt), können Sie Ergebnisse auch basierend auf MAC-Adressen filtern, indem Sie den eth.addr-Filter verwenden. Um beispielsweise den gesamten ein- und ausgehenden Datenverkehr eines Computers mit der MAC-Adresse AA:BB:CC:DD:EE:FF anzuzeigen, verwenden Sie den folgenden Filterbefehl:
eth.addr == AA:BB:CC:DD:EE:FFAbschluss
Wir haben hier nur an der Oberfläche gekratzt, denn Wireshark hat noch viel mehr zu bieten. Weitere Informationen zu Wireshark-Anzeigefiltern finden Sie auf der Offizielle Wireshark-Website oder der Wiki Wireshark-Website. Wenn Sie Zweifel oder Fragen haben, hinterlassen Sie unten einen Kommentar.
Schreibe einen Kommentar