Mitschnittfilter

Mit dem Mitschnittfilter ist es möglich zu bestimmen welcher Traffic durch Wireshark aufgezeichnet werden soll. Hierbei sind eine vielzahl von Einschränkungen möglich, die von verschiedenen Ports, Protokollen oder sogar bis zu bestimmten IP-Addressen reichen können. Die Syntax ist dabei der von tcpdump recht ähnlich. Zu beachten ist hierbei, dass Traffic der nicht den festgelegten Filter-Regeln entspricht einfach nicht mit geschnitten wird und somit auch nicht als Datensatz in Wireshark verfügbar ist.

Will man erst einmal allen Traffic auf dem Interface mitschneiden und erst später eine Einschränkung der angezeigten Pakete vornehmen und das ohne, dass die Pakete auf die der Filter nicht zutrifft verloren gehen, so bietet sich hier eher der Anzeigenfilter als weitere Option an.

Syntax

Die Syntax ist ähnlich der von tcpdump. Interfaces müssen noch vor dem Mitschnitt ausgewählt werden. Will man nur Pakete, die eine bestimmte IP-Addresse beinhalten verwendet man den Parameter "host", will man nur Pakete, die über einen bestimmten Port laufen, so verwendet man den Parameter "port". Es lassen sich außerdem 2 Filter durch die Bedingungen "and" oder "or" verknüpfen. Ferner ist es auch möglich nach Protokollen wie "esp" oder "icmp" zu filtern. Außerdem ist es möglich den Ausdruck mit "not" zu negieren.

Färbt sich das Feld des Mitschnittfilters grün, so bedeutet dies, dass ein gültiger Mitschnittfilter eingegeben wurde. Färbt es sich jedoch rot, bedeutet dies, dass der eingegebene Mitschnittfilter insgesamt ungültig ist oder einen Fehler in der Syntax oder der Schreibweiße enthält. Eine gelbe Flagge neben dem grünen Anzeigefeld bedeutet, dass der Mitschnittfilter zwar gültig ist, sich aber in zukünftigen Versionen von Wireshark die Syntax so verändern kann, dass der Mitschnittfilter in dieser Form nicht mehr gültig sein könnte.