Wireshark/Filter

Aus Foxwiki
Version vom 20. Januar 2024, 11:51 Uhr von Dirkwagner (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „==Filter== ===Display-Filter=== mini|400px Netzwerkverkehr aufzeichnen, filtern und auswerten * Zeigt nur STMP (Port 25) und ICMP-Traffic * Schaltfläche ''...mit diesem Filter:'' wird der Filter eingegeben, mit dem gesucht werden soll * Anschließend die gewünschte (aktive) Verbindung auswählen * Die Aufzeichnung der Datenübertragung starten * Die Aufzeichnung läuft und Wireshark zeigt in einem Statusfenster die Anzahl der aufg…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Filter

Display-Filter

Netzwerkverkehr aufzeichnen, filtern und auswerten

  • Zeigt nur STMP (Port 25) und ICMP-Traffic
  • Schaltfläche ...mit diesem Filter: wird der Filter eingegeben, mit dem gesucht werden soll
  • Anschließend die gewünschte (aktive) Verbindung auswählen
  • Die Aufzeichnung der Datenübertragung starten
  • Die Aufzeichnung läuft und Wireshark zeigt in einem Statusfenster die Anzahl der aufgezeichneten Frames (Captured Packets) an

Datenübertragung stoppen

Filtern

Das wichtigste Instrument zum Auswerten von Traces sind Filter

  • Mit Filtern wird die Anzeige auf die interessanten Frames eingeschränkt
  • Um nur noch Traffic von und zu unserer eigenen IP-Adresse zu sehen, geben wir im Eingabefeld Filter von Wireshark folgenden Ausdruck ein:
ip.addr == 192.168.1.2
  • Als IP-Adresse setzen wir die IP-Adresse des Sniffers ein, also unsere eigene
  • Wireshark zeigt nun nur noch Frames an, die diese Filterbedingung erfüllen
  • Mit der Schaltfläche Clear kann die Filterbedingung gelöscht werden

Filter erweitern

ICMP-Pakete

Anzeige weiter einschränken:

  • Nur der Traffic des Ping-Kommandos ist interessant. Ping nutzt ein Protokoll namens ICMP

Filterbedingung entsprechend erweitern:

ip.addr == 192.168.1.2 && icmp

Mit dem Operator && werden die einzelnen Filterbedingungen UND-verknüpft

  • icmp schränkt die Anzeige auf das Protokoll ICMP ein
  • In der Anzeige sind jetzt nur noch ICMP-Pakete unserer eigenen IP-Adresse zu sehen