Wireshark Anzeigefilter
Anzeigefilter
- Mit dem Anzeigefilter ist es möglich die Anzeige der Mitgeschnittenen Pakete auf Pakete mit bestimmten Eigenschaften einzugrenzen. Wird der Anzeigefilter wieder entfernt sind die selben Pakete im Mitschnitt wieder zu sehen, die auch vor dem Anzeigefilter zu sehen waren.
- Will man nur bestimmte Pakete in seinem Traffic sehen können, so bietet sich hier der Mitschnittfilter als Lösung an.
Syntax
- Die Syntax des Anzeigefilters unterscheidet sich massiv von der des Mitschnittfilters oder auch von der von tcpdump und ist wesentlich komplexer. Anstelle des Parameters "host" muss hier z.B. der Parameter "ip.addr" verwendet werden. Ferner müssen vor dem eigendlichen Wert noch Sonderzeichen wie "==" gesetzt werden. Will man also wie im unteren Beispiel nach der Addresse 192.168.242.88 filtern, so lautet der Befehl im Anzeigefilter "ip.addr == 192.168.242.88". Die Sonderzeichen "!", "<" oder ">" sind ebenfalls möglich. Ferner können runde Klammern gesetzt werden um Parameter von einander zu trennen und mit "and" oder "or" können 2 verschiedene Filter-Regeln miteinander verknüpft werden.
- Färbt sich das Feld des Anzeigefilters grün, so bedeutet dies, dass ein gültiger Anzeigefilter eingegeben wurde. Färbt es sich jedoch rot, bedeutet dies, dass der eingegebene Anzeigefilter insgesamt ungültig ist oder einen Fehler in der Syntax oder der Schreibweiße enthält. Ein gelbes Anzeigefeld bedeutet, dass der Anzeigefilter zwar gültig ist, sich aber in zukünftigen Versionen von Wireshark die Syntax so verändern kann, dass der Anzeigefilter in dieser Form nicht mehr gültig sein könnte.
- Die generelle Syntax des Anzeigefilters lautet:
- Filterausdruck Sonderzeichen Wert [and|or] Filterausdruck Sonderzeichen Wert...]
Übersicht über die Syntax
Filterausdruck | Funktion |
---|---|
ip.addr | Filtert nach allen Paketen, die eine bestimmte IP-Addresse beinhalten |
ip.src | Filtert nach allen Paketen, die eine bestimmte Source-IP beinhalten |
ip.dst | Filtert nach allen Paketen, die eine bestimmte Ziel-IP beinhalten |
tcp.port | Filtert nach einem bestimmten TCP-Port |
udp.port | Filtert nach einem bestimmten UDP-port |
icmp | Filtert nach ICMP-Paketen |
esp | Filtert nach ESP-Paketen |
- Weitere mögliche Filterausdrücke findet man auch hier:
https://www.wireshark.org/docs/dfref/
Sonderzeichen | Funktion |
---|---|
== | "entspricht" |
!= | "entspricht nicht" |
< | "kleiner" |
> | "größer" |
>= | "größer oder gleich" |
<= | "kleiner oder gleich" |