Mitschnittfilter

• Mit dem Mitschnittfilter ist es möglich zu bestimmen welcher Traffic durch Wireshark aufgezeichnet werden soll. Hierbei sind eine vielzahl von Einschränkungen möglich, die von verschiedenen Ports, Protokollen oder sogar bis zu bestimmten IP-Addressen reichen können. Die Syntax ist dabei der von tcpdump recht ähnlich. Zu beachten ist hierbei, dass Traffic der nicht den festgelegten Filter-Regeln entspricht einfach nicht mit geschnitten wird und somit auch nicht als Datensatz in Wireshark verfügbar ist.

• Will man erst einmal allen Traffic auf dem Interface mitschneiden und erst später eine Einschränkung der angezeigten Pakete vornehmen und das ohne, dass die Pakete auf die der Filter nicht zutrifft verloren gehen, so bietet sich hier eher der Anzeigenfilter an als weitere Option an.

Syntax

• Die Syntax ist ähnlich der von tcpdump. Interfaces müssen noch vor dem Mitschnitt ausgewählt werden. Will man nur Pakete, die eine bestimmte IP-Addresse beinhalten verwendet man den Parameter "host", will man nur Pakete, die über einen bestimmten Port laufen, so verwendet man den Parameter "port". Es lassen sich außerdem 2 Filter durch die Bedingungen "and" oder "or" verknüpfen. Ferner ist es auch möglich nach Protokollen wie "esp" oder "icmp" zu filtern.

Beispiele

Host

Port

Protokoll