So verwenden Sie einen Anzeigefilter in Wireshark

Mit der Anzeigefiltersprache von Wireshark können Sie steuern, welche Pakete die Plattform aktuell anzeigt. Typischerweise werden Anzeigefilter verwendet, um zu prüfen, ob ein Protokoll oder Feld vorhanden ist. Sie können sie aber auch verwenden, um Pakete mit logischen Operatoren wie „und“ und „oder“ zu vergleichen.

Es ist leicht, den Wireshark-Anzeigefilter mit dem Erfassungsfilter zu verwechseln. In diesem Artikel wird erläutert, wie Sie den Plattformanzeigefilter auf PC und Mac verwenden. Außerdem wird der Unterschied zwischen Anzeigefiltern und Erfassungsfiltern in Wireshark erläutert.

So verwenden Sie den Anzeigefilter in Wireshark auf einem Windows-PC

Die Verwendung des Wireshark-Bildschirmfilters auf einem PC ist ganz einfach. Die Plattform bietet oben auf dem Bildschirm ein Feld, mit dem Sie schnell erklären können, welche Pakete Sie anzeigen möchten. Typischerweise zeigen Sie Pakete auf der Grundlage des Folgenden an.

• Protokoll
• Feldwerte
• Feldpräsenz
• Vergleiche zwischen Feldern

Die Anzeigefeldfunktionalität ermöglicht jedoch komplexere Verwendungen.

Es gibt zwei Möglichkeiten, den Anzeigefilter in Wireshark auf einem Windows-PC zu verwenden.

Methodennummer 1 – Direkter Filtertyp

Angenommen, Sie möchten nur das Protokoll anzeigen, gehen Sie wie folgt vor.

• Suchen Sie in Wireshark nach der Symbolleiste Anzeigefilter und klicken Sie darauf .

• Geben Sie in der Symbolleiste einen Namen für das Protokoll ein. Geben Sie beispielsweise „tcp“ ein, wenn Sie alle Ihre TCP-Pakete anzeigen möchten.

• Drücken Sie „Enter“, um den ausgewählten Filter anzuwenden. Alternativ können Sie nach Eingabe des Filterausdrucks auf „Übernehmen“ klicken.

Sie sollten nun sehen, dass Wireshark die Pakete basierend auf dem von Ihnen ausgewählten Filter anzeigt. Alle diese Pakete verbleiben in ihrer zugehörigen Erfassungsdatei. Der Anzeigefilter ändert den Inhalt der Erfassungsdatei nicht. Es zeigt die Pakete an, die sich auf den angewendeten Filter beziehen.

Wenn Sie den angewendeten Filter entfernen möchten, klicken Sie auf die Schaltfläche „Löschen“. Es befindet sich rechts neben der Anzeigefilter-Symbolleiste.

Methodennummer 2 – Statistikfeld

Diese Methode ist eine Möglichkeit, einen Filter anzuwenden, der keine direkte Eingabe auf der Anzeigefilter-Symbolleiste erfordert.

• Suchen Sie im oberen Menü nach „Statistiken“ und klicken Sie darauf.

• Wählen Sie eine der Optionen aus der Dropdown-Liste aus. Wählen Sie für diese exemplarische Vorgehensweise Endpunkte aus.

• Ein Endpunktberichts-Popup sollte mit den MAC-Adressen erscheinen. Klicken Sie mit der rechten Maustaste auf eine der Adressen und wählen Sie Als Filter anwenden aus.

• Klicken Sie auf Ausgewählt.

Die von Ihnen gewählte Syntax wird automatisch in die Anzeigefilter-Symbolleiste eingefügt.

So verwenden Sie den Anzeigefilter in Wireshark auf dem Mac

Mit Wireshark auf dem Mac können Sie einen Anzeigefilter verwenden, um Pakete basierend auf einer Vielzahl von Parametern und Ausdrücken anzuzeigen, darunter Protokolle, Feldvergleiche, Feldwerte und mehr. Es gibt zwei Möglichkeiten, den Anzeigefilter auf dem Mac zu verwenden.

Methode Nr. 1 – Filtersymbolleiste anzeigen

Die folgenden Schritte zeigen ein einfaches Protokoll. Sie können verschiedene Operatoren verwenden, um komplexere Filter zu erstellen, wenn Sie mit Wireshark vertraut sind . Befolgen Sie diese Schritte für einen einfachen Protokollanzeigefilter.

• Klicken Sie oben auf dem Bildschirm auf die Anzeigefilter-Symbolleiste. Es ist ein Textfeld neben dem Wort „Filter“.

• Geben Sie einen Namen für das Protokoll ein und klicken Sie auf die Schaltfläche Übernehmen.

Wireshark zeigt jedes Paket an, das dem eingegebenen Protokoll zugeordnet ist, das sich in Ihrem aktuellen Erfassungsfilter befindet. Klicken Sie auf die Schaltfläche Löschen neben der Anzeigefilter-Symbolleiste, um den Filter zu entfernen und alle Pakete wieder anzuzeigen.

Methodennummer 2 – Statistikfeld

Wenn Sie den genauen Ausdruck für den Filter nicht kennen, kann in einigen Fällen eine einfachere Methode verwendet werden. Das folgende Beispiel zeigt, wie Sie einen Anzeigefilter mithilfe eines Endpunkts erstellen. Es kann auch auf mehrere andere Arten von Ausdrücken und Protokollen angewendet werden. Führen Sie diese Schritte aus, um einen Endpoint-Anzeigefilter zu erstellen.

• Klicken Sie in der oberen Menüleiste auf „Statistiken“.

• Wählen Sie Endpunkte aus.

• Navigieren Sie im Popup-Fenster zu dem Endpunkt, den Sie filtern möchten, klicken Sie mit der rechten Maustaste und markieren Sie „Als Filter anwenden“.

• Wählen Sie „Ausgewählt“.

Sie sollten sehen, dass Wireshark automatisch die Syntax für Ihre Auswahl in die Symbolleiste des Anzeigefilters eingibt. Die Plattform zeigt auch Pakete an, die sich auf Ihren gewählten Endpunkt beziehen.

Weitere häufig gestellte Fragen

Was ist der Unterschied zwischen einem Anzeigefilter und einem Erfassungsfilter?

Mit Wireshark können Sie Anzeigefilter und Erfassungsfilter verwenden, um durch Ihre Pakete zu navigieren. Diese Filter sind leicht zu verwechseln. Sie dienen jedoch unterschiedlichen Zwecken und erfordern die Verwendung einer anderen Syntax.

Der Anzeigefilter kommt zum Einsatz, wenn Sie alles Nötige gesammelt haben und bestimmte Pakete zur Analyse anzeigen möchten.

Erfassungsfilter sind eingeschränkter als Anzeigefilter. Sie verringern die Größe der Rohpaketerfassung und müssen installiert werden, bevor Sie den Paketerfassungsprozess starten. Typischerweise verwenden Sie Erfassungsfilter, wenn Sie einen Befehl verwenden möchten, um bestimmte Pakettypen aus einer Erfassung zurückzugeben oder zu entfernen. Aufnahmefilter können während des Aufnahmevorgangs nicht geändert werden.

Anzeigefilter und Erfassungsfilter unterscheiden sich auch in der verwendeten Syntax.

Bei einem Anzeigefilter verwenden Sie eine Kombination aus logischen Filtern und Operatoren, um eine logische Beschreibung des zu erstellenden Filters zu erstellen. Beispiele sind „==“ und „!=“, was „gleich“ bzw. „ungleich“ bedeutet.

Erfassungsfilter verwenden eine komplexere Syntax, die Masken, Byte-Offsets und Hexadezimalwerte mit einer logischen Filtersprache kombiniert. Dies macht Erfassungsfilter weniger intuitiv als Anzeigefilter, obwohl es auch bedeutet, dass Sie sie verwenden können, um komplexere Filter anzuwenden.

Wenden Sie Ihre Filter an

Mit der Anzeigefilterfunktion von Wireshark können Sie die Pakete in Ihrer Erfassung schnell untersuchen. Es ist ideal für große Aufnahmen, bei denen Sie das gesamte Rauschen auf dem Bildschirm beseitigen müssen, damit Sie bestimmte Protokolle oder Felder analysieren können. Wireshark bietet über sein Wiki detaillierte Informationen zu den verschiedenen Filtermodifikatoren und Anzeigefilterausdrücken.

Aber jetzt wollen wir von Ihnen hören. Wie oft müssen Sie bestimmte Pakete in Wireshark analysieren? Glauben Sie, dass die Verwendung eines Anzeigefilters Ihnen helfen wird, bei der Nutzung der Plattform effizienter zu werden? Sagen Sie uns in den Kommentaren unten, was Sie vom Wireshark-Anzeigefilter halten.