Wiresharkehemals Ethereal, ist ein leistungsstarkes Open-Source-Programm, mit dem Benutzer Informationen überwachen und analysieren können, die von und zu einem bestimmten Netzwerk gesendet werden. Die Software kann komplexe Daten aus Hunderten von Protokollen in den meisten Netzwerktypen verarbeiten und in Datenpakete organisieren. Wenn das Netzwerk jedoch unerwartet abstürzt oder Probleme auftreten, kann die Suche in den Paketen überwältigend sein und viel Zeit und Energie erfordern. Hier kommt die Benutzerfreundlichkeit von Wireshark ins Spiel.
Die Software unterstützt Filter, mit denen Sie große Informationsmengen schnell durchsehen können. Anstatt erfasste Dateien manuell zu prüfen, können Sie einen Filter anwenden, der Sie zu den Daten führt, die Sie überprüfen möchten.
Lesen Sie weiter, um mehr über die besten Wireshark-Filter zu erfahren und wie Sie diese für die spätere Verwendung mit Lesezeichen versehen.
Wireshark-Filter
Es gibt zwei Arten von Filtern in Wireshark. Die ersten sind Erfassungsfilter, die anderen Anzeigefilter. Die beiden arbeiten mit unterschiedlicher Syntax und dienen bestimmten Zwecken.
Erfassungsfilter werden vor dem Starten eines Erfassungsvorgangs eingerichtet. Die Parameter von Erfassungsfiltern zeichnen nur den Datenverkehr auf und speichern ihn, den Sie analysieren möchten. Sobald der Erfassungsvorgang beginnt, ist eine Änderung dieses Filtertyps nicht mehr möglich.
Anzeigefilter hingegen enthalten Parameter, die für alle erfassten Pakete gelten. Sie können diese Art von Filter vor dem Starten eines Erfassungsvorgangs festlegen und ihn später anpassen oder abbrechen. Sie können ihn auch festlegen, während der Vorgang ausgeführt wird. Ein Anzeigefilter speichert Daten in einem Trace-Puffer, verbirgt den Datenverkehr, der Sie nicht interessiert, und zeigt nur die Informationen an, die Sie sehen möchten.
Wireshark verfügt über eine beeindruckende Bibliothek integrierter Filter, mit denen Benutzer ihre Netzwerke besser überwachen können. Um auf einen vorhandenen Filter zuzugreifen und ihn zu verwenden, müssen Sie den richtigen Namen im Abschnitt „Anzeigefilter anwenden“ unter der Symbolleiste des Programms eingeben. Wenn Sie einen Erfassungsfilter suchen und anwenden möchten, verwenden Sie den Abschnitt „Erfassung eingeben“ in der Mitte des Begrüßungsbildschirms.
Obwohl Wireshark über umfassende Filterfunktionen verfügt, ist es oft schwierig, sich die richtige Syntax zu merken. Wenn Sie Schwierigkeiten haben, den richtigen Filter einzugeben, verschwenden Sie wertvolle Zeit.
Aber Sie haben Glück. Wir haben eine Liste der besten Wireshark-Filter zusammengestellt, damit Sie das Programm effizienter nutzen und Berge gespeicherter Daten analysieren können.
Beste Wireshark-Filter
Sehen wir uns einige hilfreiche Filter an, die Ihnen die Beherrschung des Programms erleichtern.
ip.adresse == xxxx
Der obige Filter zeigt nur erfasste Pakete an, die die festgelegte IP-Adresse enthalten. Es ist ein praktisches Tool zum Überprüfen einer Art von Datenverkehr. Durch Anwenden des Filters wird der ausgehende Datenverkehr verarbeitet und ermittelt, welcher mit der gesuchten Quelle oder IP übereinstimmt.
Wenn Sie nach Ziel filtern möchten, verwenden Sie die Variante ip.dst == xxxx.
Die Variante ip.src == xxxx hilft Ihnen beim Filtern nach Quelle.
ip.Adresse == xxxx &038;&038; ip.Adresse == xxxx
Diese Zeichenfolge richtet einen Konversationsfilter zwischen zwei voreingestellten IP-Adressen ein. Dies ist von unschätzbarem Wert, um Daten zwischen zwei ausgewählten Netzwerken oder Hosts zu überprüfen. Der Filter ignoriert unnötige Daten und konzentriert sich nur auf die Suche nach Informationen, die Sie am meisten interessieren.
Verwenden Sie zur Zielfilterung die Zeichenfolge ip.src == xxxx &038;&038; ip.dst == xxxx.
http oder dns
Wenn Sie diesen Filter anwenden, werden alle DNS- oder HTTP-Protokolle angezeigt. Dieser zeitsparende Filter ermöglicht es Ihnen, sich auf ein bestimmtes Protokoll zu konzentrieren, das Sie untersuchen möchten. Wenn Sie beispielsweise verdächtigen FTP-Verkehr finden möchten, müssen Sie den Filter nur auf „FTP“ setzen. Um herauszufinden, warum eine Webseite nicht angezeigt wird, setzen Sie den Filter auf „DNS“.
tcp.port==xxx
Der obige Filter schränkt Ihre Suche auf einen bestimmten Zielport oder eine bestimmte Quelle ein. Anstatt ein ganzes erfasstes Paket zu durchsuchen, generiert der Filter Daten zum Datenverkehr, der in einen einzelnen Port eingeht oder von diesem kommt. Es ist einer der praktischsten Filter, auf den Sie sich verlassen können, um Ihre Aufgabe zu erledigen, wenn Sie unter Zeitdruck stehen.
tcp.flags.reset==1
Wenn Sie diesen Filter anwenden, wird jeder TCP-Reset angezeigt. Jedes erfasste Paket hat ein zugehöriges TCP. Wenn sein Wert auf eins gesetzt ist, weist es den empfangenden PC darauf hin, dass er den Betrieb dieser Verbindung einstellen sollte. Dies ist einer der beeindruckendsten Wireshark-Filter, da ein TCP-Reset die Verbindung sofort beendet.
TCP enthält xxx
Dieser Filter findet alle TCP-Capture-Pakete, die den angegebenen Begriff enthalten. Wenn Sie wissen möchten, wo das Element in einem Capture vorkommt, geben Sie seinen Namen anstelle von „xxx“ ein. Der Filter findet alle Vorkommen des Begriffs, sodass Sie das Paket nicht durchlesen müssen. Wenn Sie beispielsweise „xxx“ durch „traffic“ ersetzen, werden alle Pakete angezeigt, die „traffic“ enthalten. Am besten verwenden Sie diesen Filter, um eine bestimmte Benutzer-ID oder Zeichenfolge zu scannen.
!(arp oder icmp oder dns)
Der obige Filter ist dafür gedacht, bestimmte Protokolle auszuschließen. Verwenden Sie ihn, um nicht benötigte ARP-, DNS- oder ICMP-Protokolle zu entfernen. Damit können Sie störende Daten blockieren, sodass Sie sich auf die Analyse wichtigerer Informationen konzentrieren können.
tcp.time_delta > .250
Dieser Filter zeigt TCP-Pakete mit einer Deltazeit von über 250 ms innerhalb ihres Streams an.
Denken Sie daran, dass Sie vor der Verwendung des Filters den TCP-Konvertierungszeitstempel berechnen müssen. Das Berechnen von Verzögerungen in Konversationen ist zwar nicht allzu schwierig, erfordert jedoch fortgeschrittene Wireshark-Kenntnisse.
tcp.analysis.flags und !tcp.analysis.window_update
Mit diesem Filter können Sie Neuübertragungen, Nullfenster und doppelte Angriffe in einer einzigen Ablaufverfolgung anzeigen. Dies ist eine hervorragende Möglichkeit, mangelhafte App-Leistungen oder Paketverluste zu finden.
Tipps zur Verwendung von Wireshark-Filtern
Wenn Sie die korrekte Syntax eines Filters vergessen, ist das frustrierend und kann dazu führen, dass Sie wertvolle Daten nicht schnell finden.
Manchmal kann die Autovervollständigungsfunktion von Wireshark Ihnen helfen, das Problem zu lösen. Wenn Sie beispielsweise sicher sind, dass der Filter mit „tcp“ beginnt, geben Sie diese Information in das entsprechende Suchfeld ein. Wireshark generiert eine Liste mit Filtern, die mit „tcp“ beginnen. Gehen Sie die Suchergebnisse durch, bis Sie den richtigen Namen gefunden haben.
Eine weitere Möglichkeit, Filter zu finden, ist die Option „Lesezeichen“ neben dem Eingabefeld. Wenn Sie „Anzeigefilter verwalten“ oder „Filterausdrücke verwalten“ auswählen, können Sie Filter ändern, hinzufügen oder entfernen. Wenn Sie sich komplexe Syntaxabkürzungen nicht besonders gut merken können, ist die Option „Lesezeichen“ ein unkompliziertes Tool zum Abrufen häufig verwendeter Wireshark-Filter.
Anstatt komplexe Erfassungsfilter erneut einzugeben, befolgen Sie die Schritte unten, um sie im Menü „Lesezeichen“ zu speichern:
- Start Wireshark und navigieren Sie zur Option „Lesezeichen“.
- Klicken Sie auf „Anzeigefilter verwalten“, um das Dialogfeld anzuzeigen.
- Suchen Sie im Dialogfeld den entsprechenden Filter, tippen Sie darauf und drücken Sie die Schaltfläche „+“, um ihn zu speichern.
So speichern Sie einen Anzeigefilter:
- Öffnen Sie Wireshark und gehen Sie zur Option „Lesezeichen“.
- Wählen Sie „Anzeigefilter verwalten“, um das Dialogfenster zu öffnen.
- Durchsuchen Sie die Liste der Optionen, tippen Sie doppelt auf den entsprechenden Filter und klicken Sie auf die Schaltfläche „+“, um ihn als Lesezeichen zu speichern.
Wenn Sie es eilig haben und bestimmte Daten analysieren möchten, können Sie den Abwärtspfeil neben dem Eingabefeld drücken. Die Aktion generiert eine Liste der zuvor verwendeten Filter.
Verwenden Sie Filter für eine problemlose Datenanalyse
Wireshark ist dank seiner praktischen Filter zu einem der beliebtesten Netzwerkprotokollanalysatoren geworden. Sie können sie verwenden, um Zeit zu sparen und schnell bestimmte Parameter wie IP-Adressen oder HEX-Werte zu finden. Wenn Sie sich die verschiedenen Bezeichnungen Ihrer häufig verwendeten Filter nicht merken können, speichern Sie sie als Lesezeichen für die spätere Verwendung.
Wie oft verwenden Sie Wireshark-Filter? Auf welche verlassen Sie sich mehr, auf Erfassungs- oder Anzeigefilter? Haben Sie schon einmal einige der oben genannten Optionen verwendet? Lassen Sie es uns im Kommentarbereich unten wissen.
