Verwendung von Anzeigefiltern in Wireshark
Wireshark ist ein GUI-basierter Netzwerk-Paketanalysator, mit dem Sie Paketdaten aus einem Live-Netzwerk sowie aus einer zuvor erfassten Datei prüfen können. Obwohl es ein sehr mächtiges Werkzeug ist, ist es ein häufiges Problem für Neulinge, dass es so viele Daten anzeigt, dass es für sie wirklich schwierig wird, die tatsächlichen Informationen zu finden, nach denen sie suchen. Hier helfen die Display-Filter von Wireshark.
Hinweis - Wenn Sie in Wireshark völlig neu sind, sollten Sie zunächst das grundlegende Lernprogramm durchgehen.
Filter anzeigen
Hier ist ein Beispiel für eine Live-Aufnahme in Wireshark:
Beachten Sie, dass ein Großteil der GUI verwendet wird, um Informationen (wie Zeit, Quelle, Ziel und mehr) über alle eingehenden und ausgehenden Pakete anzuzeigen. Um diese Informationen nach Ihren Anforderungen zu filtern, müssen Sie das Filterfeld oben im Fenster verwenden.
1. Filtern Sie Informationen basierend auf dem Protokoll
Um Ergebnisse basierend auf einem bestimmten Protokoll zu filtern, geben Sie einfach den Namen in das Filterfeld ein und drücken Sie die Eingabetaste. Im folgenden Screenshot werden beispielsweise Informationen zum HTTP-Protokoll angezeigt:
Beachten Sie, dass die Protokollspalte nur HTTP-Einträge enthält. Wenn Informationen zu mehr als einem Protokoll erforderlich sind, geben Sie die Protokollnamen getrennt durch eine Doppelpipeline (oder einen logischen ODER-Operator) ||
. Hier ist ein Beispiel:
http || arp || ICMP
2. Filtern Sie Informationen basierend auf der IP-Adresse
Verwenden Sie den Filter ip.src
, um Ergebnisse basierend auf der Quell-IP zu filtern. Hier ist ein Beispiel:
ip.src == 50.116.24.50
In ähnlicher Weise verwenden Sie ip.dst
, um Ergebnisse basierend auf der Ziel-IP-Adresse zu filtern. Verwenden Sie den Filter ip.addr
, um Quell- und ip.addr
mit einer bestimmten IP ip.addr
. Hier ist ein Beispiel:
ip.addr == 50.116.24.50
Beachten Sie, dass die Pakete mit der Quell- oder Ziel-IP-Adresse wie 50.116.24.50 in der Ausgabe angezeigt werden.
Um Pakete mit einer bestimmten IP-Adresse auszuschließen, verwenden Sie den Operator !=
. Hier ist ein Beispiel:
ip.src! = 50.116.24.50
3. Filtern Sie Informationen basierend auf dem Port
Sie können den erfassten Datenverkehr auch basierend auf Netzwerkports filtern. Wenn Sie beispielsweise nur die Pakete anzeigen tcp.port
, die den TCP-Quell- oder tcp.port
80 enthalten, verwenden Sie den Filter tcp.port
. Hier ist ein Beispiel:
tcp.port == 80
In ähnlicher Weise können Sie tcp.srcport
und tcp.dstport
, um die Ergebnisse basierend auf den TCP-Quell- und tcp.dstport
separat zu filtern.
Wireshark hat auch die Möglichkeit, Ergebnisse basierend auf TCP-Flags zu filtern. Um beispielsweise die TCP-Pakete anzuzeigen, die das SYN-Flag enthalten, verwenden Sie den Filter tcp.flags.syn
. Hier ist ein Beispiel:
Auf ähnliche Weise können Sie auch Ergebnisse basierend auf anderen Flags wie ACK, FIN und mehr tcp.flags.ack
, indem Sie Filter wie tcp.flags.ack
, tcp.flags.fin
und mehr verwenden.
4. Einige andere nützliche Filter
Wireshark zeigt die Daten eines Pakets (das derzeit ausgewählt ist) am unteren Rand des Fensters an. Manchmal ist es beim Debuggen eines Problems erforderlich, Pakete basierend auf einer bestimmten Bytefolge zu filtern. Das können Sie einfach mit Wireshark tun.
Zum Beispiel können TCP-Pakete, die die Bytefolge 00 00 01 enthalten, auf folgende Weise gefiltert werden:
TCP enthält 00:00:01
So wie Sie Ergebnisse filtern können, die auf IP-Adressen basieren (weiter oben erläutert), können Sie auch Ergebnisse basierend auf MAC-Adressen mit dem Filter eth.addr
filtern. Um beispielsweise den gesamten eingehenden und ausgehenden Datenverkehr eines Rechners mit MAC-Adresse anzuzeigen, z. B. AA: BB: CC: DD: EE: FF, verwenden Sie den folgenden Filterbefehl:
eth.addr == AA: BB: CC: TT: EE: FF
Fazit
Wir haben hier kaum an der Oberfläche gekratzt, da Wireshark noch viel mehr zu bieten hat. Weitere Informationen zu Wireshark-Anzeigefiltern finden Sie auf der offiziellen Website von Wireshark oder auf der Wiki Wireshark-Website. Wenn Sie Zweifel oder Fragen haben, hinterlassen Sie einen Kommentar unten.