Kategorien
Anwendung

Verwendung von Bildschirmfiltern in Wireshark

Wireshark ist ein GUI-basierter Netzwerkpaketanalysator, mit dem Sie Paketdaten aus einem Live-Netzwerk sowie eine zuvor erfasste Datei überprüfen können. Obwohl dies ein sehr leistungsfähiges Tool ist, besteht ein häufiges Problem für Neulinge darin, dass so viele Daten angezeigt werden, dass es für sie sehr schwierig ist, genau zu bestimmen, nach welchen Informationen sie suchen. Hier helfen die Bildschirmfilter von Wireshark.

Hinweis – Wenn Sie Wireshark noch nicht kennen, wird empfohlen, zuerst das grundlegende Tutorial zu lesen.

Filter anzeigen

Hier ist ein Beispiel für eine Live-Aufnahme in Wireshark:

Verwendung von Bildschirmfiltern in Wireshark - 1

Beachten Sie, dass ein Großteil der Benutzer-GUI verwendet wird, um Informationen (wie Zeit, Quelle, Ziel usw.) über alle eingehenden und ausgehenden Pakete anzuzeigen. Um diese Informationen nach Ihren Bedürfnissen zu filtern, sollten Sie das Filterfeld oben im Fenster verwenden.

1. Filtern Sie die Informationen gemäß dem Protokoll

Um die Ergebnisse basierend auf einem bestimmten Protokoll zu filtern, geben Sie einfach den Namen in das Filterfeld ein und drücken Sie die Eingabetaste. Der folgende Screenshot zeigt beispielsweise Informationen zum HTTP-Protokoll:

Verwendung von Bildschirmfiltern in Wireshark - 2

Beachten Sie, dass die Spalte Protokoll nur HTTP-Einträge enthält. Wenn Informationen für mehr als ein Protokoll erforderlich sind, geben Sie die durch eine Doppelpipe (oder einen logischen ODER-Operator) getrennten Protokollnamen ||| ein. Hier ist ein Beispiel:

 http || arp || icmp

Verwendung von Bildschirmfiltern in Wireshark - 3

2. Filtern Sie die Informationen basierend auf der IP-Adresse

Verwenden Sie den Filter ip.src, um die Ergebnisse basierend auf der Quell-IP-Adresse zu filtern. Hier ist ein Beispiel:

 ip.src == 50.116.24.50

Verwendung von Bildschirmfiltern in Wireshark - 4

Verwenden Sie ebenfalls ip.dst, um die Ergebnisse basierend auf der Ziel-IP-Adresse zu filtern. Verwenden Sie den Filter ip.addr, um Quell- und Zielpakete mit einer bestimmten IP-Adresse anzuzeigen. Hier ist ein Beispiel:

 ip.addr == 50.116.24.50

Verwendung von Bildschirmfiltern in Wireshark - 5

Beachten Sie, dass die Pakete mit der Quell- oder Ziel-IP-Adresse wie 50.116.24.50 in der Ausgabe angezeigt werden.

Verwenden Sie den Operator, um Pakete mit einer bestimmten IP-Adresse auszuschließen! Hier ist ein Beispiel:

 ip.src! = 50.116.24.50

Verwendung von Bildschirmfiltern in Wireshark - 6

3. Filtern Sie die Informationen nach dem Port

Sie können den erfassten Datenverkehr auch anhand der Netzwerkports filtern. Verwenden Sie beispielsweise den Filter tcp.port, um nur Pakete anzuzeigen, die den Quell- oder Ziel-TCP-Port 80 enthalten. Hier ist ein Beispiel:

 tcp.port == 80

Verwendung von Bildschirmfiltern in Wireshark - 7

Ebenso können Sie tcp.srcport und tcp.dstport verwenden, um Ergebnisse basierend auf TCP-Quell- bzw. Zielports separat zu filtern.

Wireshark kann auch Ergebnisse basierend auf TCP-Flags filtern. Verwenden Sie beispielsweise den Filter tcp.flags.syn, um TCP-Pakete anzuzeigen, die das SYN-Flag enthalten. Hier ist ein Beispiel:

Verwendung von Bildschirmfiltern in Wireshark - 8

Ebenso können Sie Ergebnisse basierend auf anderen Metriken wie ACK, FIN usw. filtern, indem Sie Filter wie tcp.flags.ack, tcp.flags.fin usw. verwenden

4. Einige andere nützliche Filter

Wireshark zeigt die Daten in einem (aktuell ausgewählten) Paket am unteren Rand des Fensters an. Manchmal ist es beim Debuggen eines Problems erforderlich, Pakete basierend auf einer bestimmten Folge von Bytes zu filtern. Sie können dies einfach mit Wireshark tun.

Beispielsweise können TCP-Pakete, die das Sequenzbyte 00 00 00 01 enthalten, wie folgt gefiltert werden:

 tcp contient 00:00:01

Verwendung von Bildschirmfiltern in Wireshark - 9

So wie Sie Ergebnisse basierend auf IP-Adressen filtern können (siehe oben), können Sie auch Ergebnisse basierend auf MAC-Adressen mithilfe des Filters eth.addr filtern. Verwenden Sie beispielsweise den folgenden Filterbefehl, um den gesamten eingehenden und ausgehenden Datenverkehr von einem Computer mit einer Mac-Adresse anzuzeigen, z. B. AA: BB: CC: DD: EE: FF:

 eth.addr = = AA: BB: CC: DD: EE: FF

Fazit

Wir haben hier kaum an der Oberfläche gekratzt, weil Wireshark so viel mehr zu bieten hat. Weitere Informationen zu Wireshark-Anzeigefiltern finden Sie auf der offiziellen Wireshark-Website oder auf der Wiki Wireshark-Website. Wiki Wireshark Website . Wenn Sie Fragen oder Anregungen haben, hinterlassen Sie bitte unten einen Kommentar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.