Wireshark/Filter: Unterschied zwischen den Versionen
| (29 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
'''Wireshark/Filter''' | |||
== Beschreibung == | |||
===Display-Filter=== | ===Display-Filter=== | ||
[[Datei:start_ws.png|mini|400px]] | [[Datei:start_ws.png|mini|400px]] | ||
| Zeile 20: | Zeile 23: | ||
* Als IP-Adresse setzen wir die IP-Adresse des Sniffers ein, also unsere eigene | * Als IP-Adresse setzen wir die IP-Adresse des Sniffers ein, also unsere eigene | ||
* Wireshark zeigt nun nur noch Frames an, die diese Filterbedingung erfüllen | * Wireshark zeigt nun nur noch Frames an, die diese Filterbedingung erfüllen | ||
* Mit der Schaltfläche ''Clear'' kann die Filterbedingung gelöscht werden | * Mit der Schaltfläche ''Clear'' kann die Filterbedingung gelöscht werden<br clear=all> | ||
===Filter erweitern=== | === Filter erweitern === | ||
[[Datei:icmp_ws.png|mini|400px|ICMP-Pakete]] | [[Datei:icmp_ws.png|mini|400px|ICMP-Pakete]] | ||
Anzeige weiter einschränken | Anzeige weiter einschränken | ||
* Nur der Traffic des Ping-Kommandos ist interessant. Ping nutzt ein Protokoll namens ICMP | * Nur der Traffic des Ping-Kommandos ist interessant. Ping nutzt ein Protokoll namens ICMP | ||
| Zeile 33: | Zeile 36: | ||
* '''icmp''' schränkt die Anzeige auf das Protokoll ICMP ein | * '''icmp''' schränkt die Anzeige auf das Protokoll ICMP ein | ||
* In der Anzeige sind jetzt nur noch ICMP-Pakete unserer eigenen IP-Adresse zu sehen | * In der Anzeige sind jetzt nur noch ICMP-Pakete unserer eigenen IP-Adresse zu sehen | ||
=== Beispiele === | |||
{| class="wikitable sortable options big" | |||
|- | |||
! Filter !! Beschreibung | |||
|- | |||
| ip.addr == 10.0.0.1 || traffic with 10.0.0.1 as either source or destination | |||
|- | |||
| ip.addr == 10.0.0.0/24 || traffic to and from any address in 10.0.0.0/24 | |||
|- | |||
| ip.src == 10.0.0.1 && ip.dst == 10.0.0.2 || traffic from 10.0.0.1 to 10.0.0.2 | |||
|- | |||
| !(ip.addr == 10.0.0.1) || Exclude traffic to or from 10.0.0.1 | |||
|- | |||
| icmp.type == 3 || ICMP "destination unreachable" packets | |||
|- | |||
| tcp or udp || TCP or UDP traffic | |||
|- | |||
| tcp.port ==80 || TCP traffic with port 80 | |||
|- | |||
| tcp.srcport < 1000 || TCP traffic with src port range | |||
|- | |||
| http or dns || HTTP or DNS traffic on Instagram | |||
|- | |||
| tcp.flags.syn == 1 || TCP packets with SYN flag set | |||
|- | |||
| tcp.flags == 0x012 || TCP packets with both SYN and ACK flags set | |||
|- | |||
| tcp.analysis.retransmission || retransmitted TCP packets | |||
|- | |||
| http.request.method =="GET" || TCP packets associated with HTTP GET | |||
|- | |||
| http.response.code == 404 || packets associated with HTTP 404 response | |||
|- | |||
| http.host == "www.test.com" || HTTP traffic matching the Host header field | |||
|- | |||
| tls.handshake || only TLS handshake packets | |||
|- | |||
| tls.handshake.type ==1 || client Hello packet during TLS handshake | |||
|- | |||
| dhcp and ip.addr == 10.0.0.0/24 || DHCP traffic for 10.0.0.0/24 subnet | |||
|- | |||
| dhcep.hw.mac_addr == 00:11:22:33:44:55 || DHCP packets for client MAC addr | |||
|- | |||
| dns.resp.name == cnn.com || DNS responses with name field of "cnn.com" | |||
|- | |||
| frame contains keyword || packets that contain the word "keyword" | |||
|- | |||
| frame.len > 1000 || packets with total length larger than 1000 bytes | |||
|- | |||
| eth.addr == 00:11:22:33:44:55 || traffic to or from the specified MAC addr | |||
|- | |||
| eth[0x47:2] == 01:80 || Match Ethernet frames with 2 bytes at offset 0x47 == 01:80 | |||
|- | |||
| !(arp or icmp or stp) || Filter out background traffic from ARP, ICMP and STP | |||
|- | |||
| vlan.id == 100 || packets with VLAN ID 100 | |||
|} | |||
<noinclude> | |||
== Anhang == | |||
=== Siehe auch === | |||
{{Special:PrefixIndex/Wireshark/}} | |||
=== Dokumentation === | |||
; Man-Page | |||
=== Links === | |||
==== Projekt ==== | |||
==== Weblinks ==== | |||
[[Kategorie:Wireshark]] | |||
</noinclude> | |||
Aktuelle Version vom 17. Mai 2026, 19:14 Uhr
Wireshark/Filter
Beschreibung
Display-Filter
Netzwerkverkehr aufzeichnen, filtern und auswerten
- Zeigt nur STMP (Port 25) und ICMP-Traffic
- Schaltfläche ...mit diesem Filter: wird der Filter eingegeben, mit dem gesucht werden soll
- Anschließend die gewünschte (aktive) Verbindung auswählen
- Die Aufzeichnung der Datenübertragung starten
- Die Aufzeichnung läuft und Wireshark zeigt in einem Statusfenster die Anzahl der aufgezeichneten Frames (Captured Packets) an
Datenübertragung stoppen
Das wichtigste Instrument zum Auswerten von Traces sind Filter
- Mit Filtern wird die Anzeige auf die interessanten Frames eingeschränkt
- Um nur noch Traffic von und zu unserer eigenen IP-Adresse zu sehen, geben wir im Eingabefeld Filter von Wireshark folgenden Ausdruck ein:
ip.addr == 192.168.1.2
- Als IP-Adresse setzen wir die IP-Adresse des Sniffers ein, also unsere eigene
- Wireshark zeigt nun nur noch Frames an, die diese Filterbedingung erfüllen
- Mit der Schaltfläche Clear kann die Filterbedingung gelöscht werden
Filter erweitern
Anzeige weiter einschränken
- Nur der Traffic des Ping-Kommandos ist interessant. Ping nutzt ein Protokoll namens ICMP
Filterbedingung entsprechend erweitern:
ip.addr == 192.168.1.2 && icmp
Mit dem Operator && werden die einzelnen Filterbedingungen UND-verknüpft
- icmp schränkt die Anzeige auf das Protokoll ICMP ein
- In der Anzeige sind jetzt nur noch ICMP-Pakete unserer eigenen IP-Adresse zu sehen
Beispiele
| Filter | Beschreibung |
|---|---|
| ip.addr == 10.0.0.1 | traffic with 10.0.0.1 as either source or destination |
| ip.addr == 10.0.0.0/24 | traffic to and from any address in 10.0.0.0/24 |
| ip.src == 10.0.0.1 && ip.dst == 10.0.0.2 | traffic from 10.0.0.1 to 10.0.0.2 |
| !(ip.addr == 10.0.0.1) | Exclude traffic to or from 10.0.0.1 |
| icmp.type == 3 | ICMP "destination unreachable" packets |
| tcp or udp | TCP or UDP traffic |
| tcp.port ==80 | TCP traffic with port 80 |
| tcp.srcport < 1000 | TCP traffic with src port range |
| http or dns | HTTP or DNS traffic on Instagram |
| tcp.flags.syn == 1 | TCP packets with SYN flag set |
| tcp.flags == 0x012 | TCP packets with both SYN and ACK flags set |
| tcp.analysis.retransmission | retransmitted TCP packets |
| http.request.method =="GET" | TCP packets associated with HTTP GET |
| http.response.code == 404 | packets associated with HTTP 404 response |
| http.host == "www.test.com" | HTTP traffic matching the Host header field |
| tls.handshake | only TLS handshake packets |
| tls.handshake.type ==1 | client Hello packet during TLS handshake |
| dhcp and ip.addr == 10.0.0.0/24 | DHCP traffic for 10.0.0.0/24 subnet |
| dhcep.hw.mac_addr == 00:11:22:33:44:55 | DHCP packets for client MAC addr |
| dns.resp.name == cnn.com | DNS responses with name field of "cnn.com" |
| frame contains keyword | packets that contain the word "keyword" |
| frame.len > 1000 | packets with total length larger than 1000 bytes |
| eth.addr == 00:11:22:33:44:55 | traffic to or from the specified MAC addr |
| eth[0x47:2] == 01:80 | Match Ethernet frames with 2 bytes at offset 0x47 == 01:80 |
| !(arp or icmp or stp) | Filter out background traffic from ARP, ICMP and STP |
| vlan.id == 100 | packets with VLAN ID 100 |
Anhang
Siehe auch
Dokumentation
- Man-Page