Wireshark Mitschnittfilter
Version vom 4. Oktober 2016, 13:03 Uhr von Janning (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „=Mitschnittfilter= *Mit dem Mitschnittfilter ist es möglich zu bestimmen welcher Traffic durch Wireshark aufgezeichnet werden soll. Hierbei sind eine vielzah…“)
Mitschnittfilter
- Mit dem Mitschnittfilter ist es möglich zu bestimmen welcher Traffic durch Wireshark aufgezeichnet werden soll. Hierbei sind eine vielzahl von Einschränkungen möglich, die von verschiedenen Ports, Protokollen oder sogar bis zu bestimmten IP-Addressen reichen können. Die Syntax ist dabei der von tcpdump recht ähnlich. Zu beachten ist hierbei, dass Traffic der nicht den festgelegten Filter-Regeln entspricht einfach nicht mit geschnitten wird und somit auch nicht als Datensatz in Wireshark verfügbar ist.
- Will man erst einmal allen Traffic auf dem Interface mitschneiden und erst später eine Einschränkung der angezeigten Pakete vornehmen und das ohne, dass die Pakete auf die der Filter nicht zutrifft verloren gehen, so bietet sich hier eher der Anzeigenfilter an als weitere Option an.
Syntax
- Die Syntax ist ähnlich der von tcpdump. Interfaces müssen noch vor dem Mitschnitt ausgewählt werden. Will man nur Pakete, die eine bestimmte IP-Addresse beinhalten verwendet man den Parameter "host", will man nur Pakete, die über einen bestimmten Port laufen, so verwendet man den Parameter "port". Es lassen sich außerdem 2 Filter durch die Bedingungen "and" oder "or" verknüpfen. Unten eine Übersicht über die Parameter und ihre Funktionen.