Wireshark Anzeigefilter: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „=Anzeigefilter= *Mit dem Anzeigefilter ist es möglich die Anzeige der Mitgeschnittenen Pakete auf Pakete mit bestimmten Eigenschaften einzugrenzen. Wird der A…“) |
|||
Zeile 62: | Zeile 62: | ||
|- | |- | ||
|} | |} | ||
+ | |||
+ | =Beispiele für Anzeigefilter= | ||
+ | |||
+ | ===Ohne Anzeigefilter=== | ||
+ | [[Datei:wireshark-anzeigefilter-1.png]] | ||
+ | |||
+ | ===Nach Source-IP 192.168.242.88=== | ||
+ | [[Datei:wireshark-anzeigefilter-2.png]] |
Version vom 5. Oktober 2016, 09:17 Uhr
Anzeigefilter
- Mit dem Anzeigefilter ist es möglich die Anzeige der Mitgeschnittenen Pakete auf Pakete mit bestimmten Eigenschaften einzugrenzen. Wird der Anzeigefilter wieder entfernt sind die selben Pakete im Mitschnitt wieder zu sehen, die auch vor dem Anzeigefilter zu sehen waren.
- Will man nur bestimmte Pakete in seinem Traffic sehen können, so bietet sich hier der Mitschnittfilter als Lösung an.
Syntax
- Die Syntax des Anzeigefilters unterscheidet sich massiv von der des Mitschnittfilters oder auch von der von tcpdump und ist wesentlich komplexer. Anstelle des Parameters "host" muss hier z.B. der Parameter "ip.addr" verwendet werden. Ferner müssen vor dem eigendlichen Wert noch Sonderzeichen wie "==" gesetzt werden. Will man also wie im unteren Beispiel nach der Addresse 192.168.242.88 filtern, so lautet der Befehl im Anzeigefilter "ip.addr == 192.168.242.88". Die Sonderzeichen "!", "<" oder ">" sind ebenfalls möglich. Ferner können runde Klammern gesetzt werden um Parameter von einander zu trennen und mit "and" oder "or" können 2 verschiedene Filter-Regeln miteinander verknüpft werden.
Übersicht über die Syntax
Parameter | Funktion |
---|---|
ip.addr | Filtert nach allen Paketen, die eine bestimmte IP-Addresse beinhalten |
ip.src | Filtert nach allen Paketen, die eine bestimmte Source-IP beinhalten |
ip.dst | Filtert nach allen Paketen, die eine bestimmte Ziel-IP beinhalten |
tcp.port | Filtert nach einem bestimmten TCP-Port |
udp.port | Filtert nach einem bestimmten UDP-port |
icmp | Filtert nach ICMP-Paketen |
esp | Filtert nach ESP-Paketen |
- Weitere mögliche Parameter findet man auch hier:
https://www.wireshark.org/docs/dfref/
Sonderzeichen | Funktion |
---|---|
== | "entspricht" |
!= | "entspricht nicht" |
< | "kleiner" |
> | "größer" |
>= | "größer oder gleich" |
<= | "kleiner oder gleich" |