Netzwerkanalyse mit Wireshark: Nützliche Filter-Befehle
Wer den heimischen Netzwerkverkehr detailliert untersuchen möchte, kommt an Wireshark nicht vorbei. Aber auch in Unternehmen kommt Wireshark oft zum Einsatz. Das kostenlose Programm ermöglicht die Aufzeichnung und Analyse von Datenverkehr einer Netzwerk-Schnittstelle. Alternativ kann der Datenverkehr auch an einem anderen Gerät aufgezeichnet werden. Zuhause bietet sich ein Paketmitschnitt beispielsweise direkt am Router an. Bei einer FRITZ!Box kann dies über die URL http://fritz.box/support.lua erledigt werden. Die Daten können dann wiederrum mit Wireshark ausgewertet werden.
Wireshark stellt den Datenverkehr übersichtlich, in Form von einzelnen Paketen dar. Für eine detaillierte Analyse muss der Inhalt nach bestimmten Kriterien gefiltert werden. Dazu kommt der sogenannte Display-Filter zum Einsatz:
Der Display-Filter ist sehr flexibel und ermöglicht ein breites Spektrum an verschiedenen Filtern. Außerdem stehen verschiedene Operatoren bereit, um einzelne Filterbedingungen miteinander zu verknüpfen. Nachfolgend eine Übersicht der wichtigsten Filtermöglichkeiten:
Nur Pakete anzeigen, die von / zu einer bestimmten MAC-Adresse empfangen / gesendet werden.
eth.addr == 00.07.0a.15.c3.fa
eth.src == 00.07.0a.15.c3.fa
eth.dst == 00.07.0a.15.c3.faNur Pakete anzeigen, die von / zu einer bestimmten IP-Adresse empfangen / gesendet werden.
ip.addr == 192.168.10.55
ip.src == 192.168.10.55
ip.dst == 192.168.10.55Alle Pakete anzeigen, in denen eine bestimmte IP nicht auftaucht.
!ip.addr == 192.168.10.55
not ip.addr == 192.168.10.55Alle ICMP-Pakete anzeigen.
icmpZeigt nur verschlüsselte Verbindungen an.
sslZeigt nur HTTP-Traffic an.
httpZeigt nur SNMP-, DNS- und ICPM-Traffic an.
snmp || dns || icmp
snmp or dns or icmpZeigt alle Pakete an, die den TCP-Port 25 als Quelle oder Ziel haben.
tcp.port == 25
Alle Pings zu bzw. von einer bestimmten IP-Adresse anzeigen.
ip.addr == 192.168.10.55 && icmp
ip.addr == 192.168.10.55 and icmpZeigt nur Pakete an, die einen bestimmten Text enthalten.
tcp matches "text"
tcp contains "text"Zeigt alle Pakete an, die doppelt übertragen wurden.
tcp.analysis.retransmissionSie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
danke :-)
Hallo Tobias, um in der Fritzbox eine Blacklist zu erstellen, möchte ich für einige Zeit die durch Familienmitglieder (Kinder) aufgerufenen Webseiten mitschneiden. Wie kann ich nach den aufgerufenen Webseiten in Wireshark suchen? Bin leider bis dato an der Erstellung eines entsprechenden “www.” Filters gescheitert – Wireshark Neuling halt. Vielleicht kannst Du mir ja helfen? Gerne mit Paypalzahlung im Nachgang. Danke Markus
Hallo Markus,
da hast du dir aber etwas vorgenommen ;-)
Ich glaube ich verfasse einen eigenen Artikel über dieses Thema, da es für einen einfachen Kommentar zu umfangreich ist.
Über eine eine kleine Aufmerksamkeit von dir würde ich mich sehr freuen. Das letzte Angebot dieser Art war schon über ein Jahr her…
Viele Grüße
Tobias
EDIT: https://www.antary.de/2017/06/29/wireshark-besuchte-urls-anzeigen-http-und-https/
Hallo Tobi, besten Dank für die prompte & professionelle Reaktion. Wie kann ich mich nunmehr “ehrlich” bei Dir machen? Am besten über Paypal, bin mir aber nicht sicher, ob Du hier so einfach Deinen Accountnamen posten willst? VG Markus
Ich habe eine Amazon-Wunschliste. Wenn du PayPal bevorzugst schreib mir einfach eine Mail und ich teile dir dann meine PayPal-Adresse mit.