Version vom 5. Oktober 2016, 09:21 Uhr

Anzeigefilter

Mit dem Anzeigefilter ist es möglich die Anzeige der Mitgeschnittenen Pakete auf Pakete mit bestimmten Eigenschaften einzugrenzen. Wird der Anzeigefilter wieder entfernt sind die selben Pakete im Mitschnitt wieder zu sehen, die auch vor dem Anzeigefilter zu sehen waren.

Will man nur bestimmte Pakete in seinem Traffic sehen können, so bietet sich hier der Mitschnittfilter als Lösung an.

Die Syntax des Anzeigefilters unterscheidet sich massiv von der des Mitschnittfilters oder auch von der von tcpdump und ist wesentlich komplexer. Anstelle des Parameters "host" muss hier z.B. der Parameter "ip.addr" verwendet werden. Ferner müssen vor dem eigendlichen Wert noch Sonderzeichen wie "==" gesetzt werden. Will man also wie im unteren Beispiel nach der Addresse 192.168.242.88 filtern, so lautet der Befehl im Anzeigefilter "ip.addr == 192.168.242.88". Die Sonderzeichen "!", "<" oder ">" sind ebenfalls möglich. Ferner können runde Klammern gesetzt werden um Parameter von einander zu trennen und mit "and" oder "or" können 2 verschiedene Filter-Regeln miteinander verknüpft werden.

Parameter	Funktion
ip.addr	Filtert nach allen Paketen, die eine bestimmte IP-Addresse beinhalten
ip.src	Filtert nach allen Paketen, die eine bestimmte Source-IP beinhalten
ip.dst	Filtert nach allen Paketen, die eine bestimmte Ziel-IP beinhalten
tcp.port	Filtert nach einem bestimmten TCP-Port
udp.port	Filtert nach einem bestimmten UDP-port
icmp	Filtert nach ICMP-Paketen
esp	Filtert nach ESP-Paketen