Technologie einfach erklärt

Wie man Anzeige-Filter in Wireshark verwendet

Wireshark ist ein GUI-basiertes Netzwerkpaketanalyse-Tool, mit dem Sie Paketdaten aus einem Live-Netzwerk sowie aus einer zuvor erfassten Datei inspizieren können. Obwohl es sich um ein sehr leistungsfähiges Tool handelt, besteht ein häufiges Problem, mit dem Neulinge konfrontiert sind, darin, dass so viele Daten angezeigt werden, dass es für sie wirklich schwierig wird, die tatsächlichen Informationen zu finden, die sie suchen. Hier kommen die Anzeige-Filter von Wireshark ins Spiel.

Hinweis – Wenn Sie ganz neu bei Wireshark sind, wird empfohlen, dass Sie zunächst das Grundtutorial durchgehen.

Anzeige-Filter

Hier ist ein Beispiel für eine Live-Erfassung in Wireshark:

wireshark-live-capture

Beachten Sie, dass ein großer Teil der GUI verwendet wird, um Informationen (wie Zeit, Quelle, Ziel und mehr) über alle eingehenden und ausgehenden Pakete anzuzeigen. Um diese Informationen entsprechend Ihren Anforderungen zu filtern, müssen Sie das Filterfeld verwenden, das sich oben im Fenster befindet.

1. Filterinformationen basierend auf Protokoll

Um Ergebnisse basierend auf einem bestimmten Protokoll zu filtern, geben Sie einfach den Namen des Protokolls in das Filterfeld ein und drücken Sie die Eingabetaste. Zum Beispiel zeigt der folgende Screenshot Informationen zum HTTP-Protokoll an:

wireshark-http

Beobachten Sie, dass die Protokollspalte nur HTTP-Einträge enthält. Wenn Informationen zu mehr als einem Protokoll benötigt werden, geben Sie die Protokollnamen, getrennt durch ein doppeltes Pipe-Zeichen (oder einen logischen ODER-Operator) ||, ein. Hier ein Beispiel:

http || arp || icmp

wireshark-multiple-protocols

2. Filterinformationen basierend auf IP-Adresse

Um Ergebnisse basierend auf der Quell-IP zu filtern, verwenden Sie den Filter ip.src. Hier ist ein Beispiel:

ip.src==50.116.24.50

wireshark-ip

Ebenso verwenden Sie ip.dst, um Ergebnisse basierend auf der Ziel-IP-Adresse zu filtern. Um sowohl Quell- als auch Zielpakete mit einer bestimmten IP anzuzeigen, verwenden Sie den Filter ip.addr. Hier ein Beispiel:

ip.addr==50.116.24.50

wireshark-ip-addr

Beachten Sie, dass die Pakete mit der Quell- oder Ziel-IP-Adresse 50.116.24.50 in der Ausgabe angezeigt werden.

Um Pakete mit einer bestimmten IP-Adresse auszuschließen, verwenden Sie den Operator !=. Hier ist ein Beispiel:

ip.src!=50.116.24.50

wireshark-exclude-ip

3. Filterinformationen basierend auf Port

Sie können den erfassten Datenverkehr auch basierend auf Netzwerkports filtern. Zum Beispiel, um nur die Pakete anzuzeigen, die den TCP-Quell- oder Zielport 80 enthalten, verwenden Sie den Filter tcp.port. Hier ein Beispiel:

tcp.port==80

wireshark-tcp-port

Ebenso können Sie tcp.srcport und tcp.dstport verwenden, um die Ergebnisse separat basierend auf den TCP-Quell- und Zielports zu filtern.

Wireshark hat auch die Fähigkeit, Ergebnisse basierend auf TCP-Flaggen zu filtern. Zum Beispiel, um nur die TCP-Pakete anzuzeigen, die das SYN-Flag enthalten, verwenden Sie den Filter tcp.flags.syn. Hier ein Beispiel:

wireshark-tcp-flags

Ebenso können Sie Ergebnisse auch basierend auf anderen Flaggen wie ACK, FIN und mehr filtern, indem Sie Filter wie tcp.flags.ack, tcp.flags.fin und mehr verwenden.

4. Einige andere nützliche Filter

Wireshark zeigt die Daten, die von einem Paket (das derzeit ausgewählt ist) enthalten sind, unten im Fenster an. Manchmal, während man ein Problem debuggt, ist es erforderlich, Pakete basierend auf einer bestimmten Bytefolge zu filtern. Das können Sie einfach mit Wireshark tun.

Zum Beispiel können TCP-Pakete, die die Bytefolge 00 00 01 enthalten, wie folgt gefiltert werden:

tcp contains 00:00:01

wireshark-byte-seq

Darüber hinaus können Sie genauso wie Sie Ergebnisse basierend auf IP-Adressen filtern (wie zuvor erklärt), auch Ergebnisse basierend auf MAC-Adressen filtern, indem Sie den Filter eth.addr verwenden. Zum Beispiel, um den gesamten Datenverkehr von und zu einem Computer mit der MAC-Adresse, sagen wir AA:BB:CC:DD:EE:FF, zu sehen, verwenden Sie den folgenden Filterbefehl:

eth.addr == AA:BB:CC:DD:EE:FF

Fazit

Wir haben hier nur an der Oberfläche gekratzt, da Wireshark noch viel mehr zu bieten hat. Für weitere Informationen zu den Anzeige-Filtern von Wireshark besuchen Sie die offizielle Website von Wireshark oder die Wiki-Website von Wireshark. Wenn Sie Fragen oder Anliegen haben, hinterlassen Sie einen Kommentar unten.

Inhalt

  1. Anzeige-Filter
  2. 1. Filterinformationen basierend auf Protokoll
  3. 2. Filterinformationen basierend auf IP-Adresse
  4. 3. Filterinformationen basierend auf Port
  5. 4. Einige andere nützliche Filter
  6. Fazit
Ello-dashboardprofile

Ello: Das Private Soziale Netzwerk Erforschen

Bitdefender installiert nicht: 3 einfache Lösungen, die Sie verwenden können

Mehr über Bitdefender Fixes

Google stellt Inbox ein und gibt ihm sechs Monate zu leben

seitenverhaeltnisse-16x9

Verstehen von Video-Seitenverhältnissen

Dateimanager mit Tags zur Organisation Ihrer Dateien: Top 5

Wake-on-LAN funktioniert nicht

Wake On LAN funktioniert nicht unter Windows [Gelöst]

easycap-mac-mspacman-console

Verwendung von EasyCAP zum Erfassen von VHS und Konsolen auf dem Mac

Google testet neue Chrome-Funktion zur Upgrade-Berechtigung für Windows 11