Technologische Neuigkeiten, Bewertungen und Tipps!
Marketing

So verwenden Sie einen Anzeigefilter in Wireshark

August 20, 2024

Mit der Anzeigefiltersprache von Wireshark können Sie die Pakete steuern, die die Plattform aktuell anzeigt. Normalerweise verwenden Sie Anzeigefilter, um zu prüfen, ob ein Protokoll oder Feld vorhanden ist. Sie können sie jedoch auch verwenden, um Pakete mithilfe logischer Operatoren wie „und“ und „oder“ zu vergleichen.

Es ist leicht, den Anzeigefilter von Wireshark mit seinem Aufnahmefilter zu verwechseln. Dieser Artikel erklärt, wie man den Anzeigefilter der Plattform auf einem PC und einem Mac verwendet. Außerdem wird der Unterschied zwischen Anzeigefiltern und Aufnahmefiltern in Wireshark untersucht.

So verwenden Sie den Anzeigefilter in Wireshark auf einem Windows-PC

Es ist ziemlich einfach, den Anzeigefilter von Wireshark auf einem PC zu verwenden. Die Plattform bietet oben auf dem Bildschirm ein Feld, in dem Sie schnell angeben können, welche Pakete Sie anzeigen möchten. Normalerweise zeigen Sie Pakete basierend auf Folgendem an.

  • Protokoll
  • Feldwerte
  • Das Vorhandensein eines Feldes
  • Vergleiche zwischen Feldern

Die Anzeigefeldfunktionalität ermöglicht jedoch eine komplexere Nutzung.

Es gibt zwei Methoden, um den Anzeigefilter in Wireshark auf einem Windows-PC zu verwenden.

Methode Nr. 1 – Direkte Filtertypisierung

Angenommen, Sie möchten lediglich ein Protokoll anzeigen, befolgen Sie diese Schritte.

  1. Klicken Sie auf die Symbolleiste mit den Anzeigefiltern in Wireshark.
  2. Geben Sie den Namen des Protokolls in die Symbolleiste ein. Geben Sie beispielsweise „tcp“ ein, wenn Sie alle Ihre TCP-Pakete anzeigen möchten.
  3. Drücken Sie „Enter“, um den ausgewählten Filter anzuwenden. Alternativ können Sie nach Eingabe Ihres Filterausdrucks auf „Übernehmen“ klicken.

Sie sollten jetzt sehen, dass Wireshark Pakete basierend auf dem von Ihnen gewählten Filter anzeigt. Alle diese Pakete verbleiben in der zugehörigen Erfassungsdatei. Ein Anzeigefilter ändert den Inhalt einer Erfassungsdatei nicht. Er zeigt Pakete an, die für den von Ihnen angewendeten Filter relevant sind.

Wenn Sie den angewendeten Filter entfernen möchten, klicken Sie auf die Schaltfläche Löschen. Diese befindet sich rechts neben der Symbolleiste des Anzeigefilters.

Methode Nr. 2 – Die Statistikleiste

Mit dieser Methode können Sie einen Filter anwenden, ohne dass Sie direkt in die Symbolleiste des Anzeigefilters tippen müssen.

  1. Suchen Sie im oberen Menü nach „Statistiken“ und klicken Sie darauf.
  2. Wählen Sie eine der Optionen im Dropdown-Menü. Wählen Sie für diese exemplarische Vorgehensweise „Endpunkte“.
  3. Ein Popup-Fenster mit dem Endpunktbericht mit MAC-Adressen sollte angezeigt werden. Klicken Sie mit der rechten Maustaste auf eine der Adressen und wählen Sie „Als Filter anwenden“.
  4. Klicken Sie auf „Ausgewählt“.

Die Syntax für Ihre Auswahl wird automatisch in die Anzeigefilter-Symbolleiste eingefügt.

So verwenden Sie den Anzeigefilter in Wireshark auf einem Mac

Mit Wireshark auf einem Mac können Sie mithilfe eines Anzeigefilters Pakete basierend auf einer Reihe von Optionen und Ausdrücken anzeigen, darunter Protokolle, Feldvergleiche, Feldwerte und mehr. Es gibt zwei Möglichkeiten, den Anzeigefilter auf einem Mac zu verwenden.

Methode Nr. 1 – Die Anzeigefilter-Symbolleiste

Mit den folgenden Schritten können Sie ein einfaches Protokoll anzeigen. Es ist möglich, mithilfe verschiedener Operatoren komplexere Filter zu erstellen, vorausgesetzt, Sie verfügen über umfassende Kenntnisse von Wireshark. Befolgen Sie diese Schritte für einen einfachen Protokollanzeigefilter.

  1. Klicken Sie oben auf dem Bildschirm auf die Symbolleiste für Anzeigefilter. Dies ist das Textfeld neben dem Wort „Filter“.
  2. Geben Sie den Namen des Protokolls ein und klicken Sie auf die Schaltfläche „Übernehmen“.

Wireshark zeigt jedes Paket an, das mit dem eingegebenen Protokoll in Zusammenhang steht und sich in Ihrem aktuellen Erfassungsfilter befindet. Klicken Sie auf die Schaltfläche Löschen neben der Symbolleiste des Anzeigefilters, um Ihren Filter zu entfernen und alle Pakete erneut anzuzeigen.

Methode Nr. 2 – Die Statistikleiste

Wenn Sie nicht wissen, welchen genauen Ausdruck Sie für Ihren Filter eingeben müssen, können Sie in manchen Fällen eine einfachere Methode anwenden. Das folgende Beispiel zeigt, wie Sie mithilfe eines Endpunkts einen Anzeigefilter erstellen. Es kann auch auf mehrere andere Arten von Ausdrücken und Protokollen angewendet werden. Befolgen Sie diese Schritte, um einen Endpunkt-Anzeigefilter zu erstellen.

  1. Klicken Sie in der oberen Menüleiste auf „Statistik“.
  2. Wählen Sie „Endpunkte“ aus.
  3. Navigieren Sie im Popup-Fenster zu dem Endpunkt, nach dem Sie filtern möchten, klicken Sie mit der rechten Maustaste und markieren Sie „Als Filter anwenden“.
  4. Wählen Sie „Ausgewählt“.

Sie sollten sehen, dass Wireshark die Syntax für Ihre Auswahl automatisch in die Symbolleiste des Anzeigefilters einträgt. Die Plattform zeigt auch Pakete an, die für Ihren ausgewählten Endpunkt relevant sind.

Weitere FAQs

Was ist der Unterschied zwischen einem Anzeigefilter und einem Erfassungsfilter?

Wireshark ermöglicht Ihnen die Verwendung von Anzeigefiltern und Erfassungsfiltern zur Navigation in Ihren Paketen. Diese Filter können leicht verwechselt werden. Sie dienen jedoch unterschiedlichen Zwecken und erfordern unterschiedliche Syntaxen.

Ein Anzeigefilter wird verwendet, wenn Sie alles erfasst haben, was Sie benötigen, und bestimmte Pakete zur Analyse anzeigen möchten.

Erfassungsfilter sind eingeschränkter als Anzeigefilter. Sie reduzieren die Größe einer Rohpaketerfassung und müssen festgelegt werden, bevor Sie mit dem Paketerfassungsprozess beginnen. Normalerweise verwenden Sie Erfassungsfilter, wenn Sie einen Befehl anwenden möchten, um bestimmte Pakettypen aus einer Erfassung zurückzugeben oder zu entfernen. Erfassungsfilter können während des Erfassungsprozesses nicht geändert werden.

Anzeigefilter und Erfassungsfilter unterscheiden sich auch hinsichtlich der verwendeten Syntax.

Mit einem Anzeigefilter verwenden Sie eine Kombination aus Booleschen Filtern und Operatoren, um eine logische Beschreibung des gewünschten Filters zu erstellen. Beispiele hierfür sind „==“ und „!=“, die jeweils „gleich“ und „ungleich“ bedeuten.

Erfassungsfilter verwenden eine kompliziertere Syntax, die Masken, Byte-Offsets und Hexadezimalwerte mit boolescher Filtersprache kombiniert. Dadurch sind Erfassungsfilter weniger intuitiv als Anzeigefilter, aber Sie können mit ihnen auch komplexere Filter anwenden.

Wenden Sie Ihre Filter an

Mit der Anzeigefilterfunktion von Wireshark können Sie die Pakete in Ihrer Erfassung schnell überprüfen. Sie eignet sich ideal für große Erfassungen, wenn Sie das ganze Rauschen auf Ihrem Bildschirm ausblenden müssen, um bestimmte Protokolle oder Felder analysieren zu können. Wireshark bietet in seinem Wiki ausführliche Informationen zu den verschiedenen Filtermodifikatoren und Ausdrücken für den Anzeigefilter.

Aber jetzt möchten wir von Ihnen hören. Wie oft müssen Sie bestimmte Pakete in Wireshark analysieren? Glauben Sie, dass die Verwendung des Anzeigefilters Ihnen dabei hilft, die Plattform effizienter zu nutzen? Sagen Sie uns in den Kommentaren unten, was Sie über den Anzeigefilter von Wireshark denken.

Your Header Sidebar area is currently empty. Hurry up and add some widgets.