Verwendung von Bildschirmfiltern in Wireshark

Wireshark ist ein GUI-basierter Netzwerkpaketanalysator, mit dem Sie Paketdaten aus einem aktiven Netzwerk und einer zuvor erfassten Datei überprüfen können. Obwohl es sich um ein sehr leistungsfähiges Tool handelt, besteht ein häufiges Problem für Anfänger darin, dass so viele Daten angezeigt werden, dass es für sie sehr schwierig ist, genau zu bestimmen, nach welchen Informationen sie suchen. Hier helfen die Bildschirmfilter von Wireshark.

Hinweis - Wenn Sie Wireshark noch nicht kennen, empfehlen wir Ihnen, zuerst das Tutorial zu lesen BASIC .

Index

    Filter anzeigen

    Hier ist ein Beispiel für eine Live-Aufnahme in Wireshark:

    Beachten Sie, dass ein Großteil der GUI verwendet wird, um Informationen (wie Zeit, Quelle, Ziel usw.) zu allen eingehenden und ausgehenden Paketen anzuzeigen. Um diese Informationen nach Ihren Anforderungen zu filtern, müssen Sie das Filterfeld oben im Fenster verwenden.

    1. Filtern Sie die Informationen nach Protokoll

    Um die Ergebnisse basierend auf einem bestimmten Protokoll zu filtern, geben Sie den Namen in das Filterfeld ein und drücken Sie die Eingabetaste. Der folgende Screenshot zeigt beispielsweise Informationen zum HTTP-Protokoll:

    Beachten Sie, dass die Spalte Protokoll nur HTTP-Einträge enthält. Wenn mehr als eine Protokollinformation erforderlich ist, geben Sie die Protokollnamen ein, die durch eine Doppelpipe (oder einen logischen ODER-Operator) getrennt sind |||. Hier ist ein Beispiel:

    http || arp || icmp

    2. Filtern Sie die Informationen nach IP-Adresse

    Verwenden Sie den Filter ip.src, um die Ergebnisse basierend auf der Quell-IP zu filtern. Hier ist ein Beispiel:

    ip.src==50.116.24.50

    Verwenden Sie in ähnlicher Weise ip.dst, um die Ergebnisse basierend auf der Ziel-IP-Adresse zu filtern. Verwenden Sie den Filter ip.addr, um die Quell- und Zielpakete mit einer bestimmten IP anzuzeigen. Hier ist ein Beispiel:

    ip.addr==50.116.24.50

    Beachten Sie, dass Pakete mit der Quell- oder Ziel-IP-Adresse wie 50.116.24.50 in der Ausgabe angezeigt werden.

    Verwenden Sie den Operator, um Pakete mit einer bestimmten IP-Adresse auszuschließen! Hier ist ein Beispiel:

    ip.src!=50.116.24.50

    3. Filtern Sie die Informationen nach Port

    Sie können den erfassten Datenverkehr auch anhand der Netzwerkports filtern. Verwenden Sie beispielsweise den Filter tcp.port, um nur Pakete anzuzeigen, die den Quell- oder Ziel-TCP-Port 80 enthalten. Hier ist ein Beispiel:

    tcp.port==80

    In ähnlicher Weise können Sie tcp.srcport und tcp.dstport verwenden, um die Ergebnisse getrennt nach den Quell- bzw. Ziel-TCP-Ports zu filtern.

    Wireshark kann auch Ergebnisse basierend auf TCP-Flags filtern. Verwenden Sie beispielsweise den Filter tcp.flags.syn, um TCP-Pakete anzuzeigen, die das SYN-Flag enthalten. Hier ist ein Beispiel:

    Ebenso können Sie die Ergebnisse basierend auf anderen Indikatoren wie ACK, FIN und anderen filtern, indem Sie Filter wie tcp.flags.ack, tcp.flags.fin bzw. andere verwenden.

    4. Einige andere nützliche Filter

    Wireshark zeigt die Daten eines (derzeit ausgewählten) Pakets am unteren Rand des Fensters an. Manchmal ist es beim Debuggen eines Problems erforderlich, Pakete basierend auf einer bestimmten Folge von Bytes zu filtern. Sie können dies einfach mit Wireshark tun.

    Beispielsweise können TCP-Pakete, die die Sequenz 00 00 00 01 Bytes enthalten, wie folgt gefiltert werden:

    tcp contiene 00:00:01

    Ebenso wie Sie die Ergebnisse basierend auf IP-Adressen filtern können (siehe oben), können Sie die Ergebnisse auch basierend auf MAC-Adressen mithilfe des eth.addr-Filters filtern. Verwenden Sie beispielsweise den folgenden Filterbefehl, um den gesamten Datenverkehr in und aus einem Computer mit einer Mac-Adresse anzuzeigen, z. B. AA: BB: CC: DD: EE: FF:

    eth.addr == AA:BB:CC:DD:EE:FF

    Fazit

    Wir haben hier kaum an der Oberfläche gekratzt, da Wireshark so viel mehr zu bieten hat. Weitere Informationen zu Wireshark-Anzeigefiltern finden Sie auf der offiziellen Wireshark-Website oder auf der Wiki Wireshark-Website Wiki Wireshark Seite . Wenn Sie Fragen oder Bedenken haben, hinterlassen Sie unten einen Kommentar.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    Go up

    Diese Website verwendet Cookies, um Ihnen ein besseres Erlebnis beim Surfen auf der Website zu bieten. Lesen Sie mehr über Cookies