Wireshark Anzeigefilter

Aus xinux.net
Zur Navigation springen Zur Suche springen

Anzeigefilter

  • Mit dem Anzeigefilter ist es möglich die Anzeige der Mitgeschnittenen Pakete auf Pakete mit bestimmten Eigenschaften einzugrenzen. Wird der Anzeigefilter wieder entfernt sind die selben Pakete im Mitschnitt wieder zu sehen, die auch vor dem Anzeigefilter zu sehen waren.
  • Will man nur bestimmte Pakete in seinem Traffic sehen können, so bietet sich hier der Mitschnittfilter als Lösung an.

Syntax

  • Die Syntax des Anzeigefilters unterscheidet sich massiv von der des Mitschnittfilters oder auch von der von tcpdump und ist wesentlich komplexer. Anstelle des Parameters "host" muss hier z.B. der Parameter "ip.addr" verwendet werden. Ferner müssen vor dem eigendlichen Wert noch Sonderzeichen wie "==" gesetzt werden. Will man also wie im unteren Beispiel nach der Addresse 192.168.242.88 filtern, so lautet der Befehl im Anzeigefilter "ip.addr == 192.168.242.88". Die Sonderzeichen "!", "<" oder ">" sind ebenfalls möglich. Ferner können runde Klammern gesetzt werden um Parameter von einander zu trennen und mit "and" oder "or" können 2 verschiedene Filter-Regeln miteinander verknüpft werden.
  • Färbt sich das Feld des Anzeigefilters grün, so bedeutet dies, dass ein gültiger Anzeigefilter eingegeben wurde. Färbt es sich jedoch rot, bedeutet dies, dass der eingegebene Anzeigefilter insgesamt ungültig ist oder einen Fehler in der Syntax oder der Schreibweiße enthält. Ein gelbes Anzeigefeld bedeutet, dass der Anzeigefilter zwar gültig ist, sich aber in zukünftigen Versionen von Wireshark die Syntax so verändern kann, dass der Anzeigefilter in dieser Form nicht mehr gültig sein könnte.
  • Die generelle Syntax des Anzeigefilters lautet:
    • Filterausdruck Sonderzeichen Wert [and|or] Filterausdruck Sonderzeichen Wert...]

Übersicht über die Syntax

Beispiele für Anzeigefilter

Ohne Anzeigefilter

Wireshark-anzeigefilter-1.png

Nach IP 192.168.242.88

Wireshark-anzeigefilter-2.png

Nach DNS-Protokoll

Wireshark-anzeigefilter-3.png

Nicht mit Source-Addresse 192.168.242.88

Wireshark-anzeigefilter-4.png

Nicht mit Source- und nicht mit Destination-Addresse 192.168.242.88

Wireshark-anzeigefilter-5.png

Nach UDP-Ports größer gleich 80

Wireshark-anzeigefilter-6.png

Nach UDP-Ports kleiner 5000 oder TCP

Wireshark-anzeigefilter-7.png

Anzeigefilter zusammen stellen

  • Es gibt außerdem noch die Möglichkeit sich einen Anzeigefilter aus einer Übersicht über alle Ausdrücke selbst zu erstellen. Hierzu öffnet man über die Taste "Ausdruck...", die sich rechts neben dem Eingabefeld für den Anzeigefilter befinden müsste, ein weiteres Fenster. In diesem findet man ebenfalls eine Übersicht über alle möglichen Filterausdrücke, die Wireshark beherrscht.
Abgerufen von „https://xinux.net/index.php?title=Wireshark_Anzeigefilter&oldid=29959