Internet

So filtern Sie nach IP in Wireshark

Netzwerkadministratoren stoßen bei ihrer Arbeit auf eine Vielzahl von Netzwerkproblemen. Wann immer es eine verdächtige Aktion gibt oder ein bestimmtes Netzwerksegment bewertet werden muss, können Protokollanalysetools wie Wireshark nützlich sein. Eine besonders nützliche Funktion ist das Filtern von Netzwerkpaketen nach IP-Adressen.

So filtern Sie nach IP in Wireshark

Wenn Sie zum ersten Mal Benutzer sind, ist es möglicherweise etwas schwierig, die Schritte dafür selbst zu konfigurieren. Glücklicherweise haben wir diese ultimative Anleitung zum Filtern nach IP in Wireshark zusammengestellt. Sie werden den Unterschied zwischen den beiden Filtersprachen kennen, neue Filterzeichenfolgen lernen und vieles mehr.

Das Beste ist, dass Sie nur beim ersten Mal Unterstützung bei der Durchführung dieser Schritte benötigen. Jede weitere Aufführung wird zum Kinderspiel!

Was ist Wireshark?

Wireshark ist ein Netzwerkpaket-Analysator, der seit geraumer Zeit die Industrie dominiert. Es war großartig, bis viele ähnliche Tools, einschließlich des Microsoft Network Monitors, auf Eis gelegt wurden. Die beiden Hauptmerkmale, die Wireshark berühmt gemacht haben, sind seine Flexibilität und Benutzerfreundlichkeit.

Network Packet Analyzer sind Werkzeuge, die den Datenverkehr in bestimmten Kommunikationskanälen möglichst detailliert erfassen und analysieren. Sie dienen als ultimative Diagnosewerkzeuge für eingebettete Systeme.

Wireshark verfügt über die erstklassige Fähigkeit, Pakete während der Erfassung und bei der Analyse mit unterschiedlichen Komplexitätsstufen zu filtern. Dies macht es sowohl für Einsteiger als auch für Netzwerküberwachungsprofis gleichermaßen praktisch. Wireshark nimmt auch Datenverkehr von verschiedenen anderen Protokollanalysatoren auf und analysiert ihn, sodass der Datenverkehr zu bestimmten Zeiten in der Vergangenheit problemlos überprüft werden kann.

Vor Wireshark waren Netzwerk-Tracking-Tools sehr teuer oder proprietär. Das hat sich mit dem Aufkommen dieser App geändert. Die Software ist Open Source und unterstützt alle wichtigen Plattformen. Dies brachte Wireshark viel Community-Unterstützung, was die Kosten als Barriere beseitigte und Platz für eine Vielzahl von Schulungsmöglichkeiten machte.

Hier ist, warum Leute Wireshark verwenden möchten:

  • Fehlerbehebung bei Netzwerkproblemen
  • Sicherheitsprobleme untersuchen
  • Untersuchen von Netzwerkanwendungen
  • Debugging-Protokollimplementierungen
  • Erfahren Sie mehr über die Interna von Netzwerkprotokollen

Wireshark kann kostenlos heruntergeladen werden. Falls noch nicht geschehen, können Sie dies hier tun. Laden Sie einfach die ausführbare Datei herunter und klicken Sie auf die Datei, um sie zu installieren.

Die Wireshark-Benutzeroberfläche

Nachdem Sie Wireshark heruntergeladen und installiert haben, können Sie von Ihrer lokalen Shell oder Ihrem Fenstermanager darauf zugreifen. Eines der ersten Dinge, die Sie tun müssen, ist eine Netzwerkschnittstelle aus der Liste der Netzwerke auf Ihren Computeradaptern auszuwählen.

Sie können im Menü auf „Erfassen“ und dann auf „Schnittstellen“ klicken und die entsprechende Option auswählen.

Das Hauptfenster der Wireshark-Oberfläche besteht aus mehreren Teilen:

  • Menü – zum Starten von Aktionen
  • Hauptsymbolleiste – Schnellzugriff auf Elemente, die Sie häufig aus dem Menü verwenden
  • Filtersymbolleiste – hier können Sie Anzeigefilter einstellen
  • Paketlistenbereich – erfasste Paketzusammenfassungen
  • Detailbereich – weitere Informationen zum ausgewählten Paket aus der Paketspur
  • Bytes-Bereich – Daten aus dem Paket des Paketlistenbereichs, Hervorhebung des ausgewählten Felds in diesem Bereich
  • Statusleiste – erfasste Daten und laufende Programmstatusinformationen

Sie können die Paketlisten steuern und durch die Details navigieren, ganz mit Ihrer Tastatur. Hier gibt es eine Tabelle mit allgemeinen Tastaturbefehlen.

Wie füge ich Filter in Wireshark hinzu?

In der Symbolleiste „Filter“ können Sie neue Anzeigefilter anpassen und ausführen.

Um Aufnahmefilter zu erstellen und zu bearbeiten, gehen Sie im Lesezeichenmenü zu „Aufnahmefilter verwalten“ oder navigieren Sie im Hauptmenü zu „Aufnahme“ und dann zu „Aufnahmefilter“.

Um Anzeigefilter zu erstellen und zu bearbeiten, wählen Sie „Anzeigefilter verwalten“ aus dem Lesezeichenmenü oder gehen Sie zum Hauptmenü und wählen Sie „Analysieren“ und dann „Anzeigefilter“.

Sie sehen einen Filtereingabebereich mit grünem Hintergrund. Dies ist der Bereich, in dem Sie Anzeigefilterzeichenfolgen eingeben und bearbeiten. Hier sehen Sie auch den aktuell angewendeten Filter. Klicken Sie einfach auf den Filternamen oder doppelklicken Sie auf die Zeichenfolge, um sie zu bearbeiten.

Während Sie schreiben, führt das System eine Systemprüfung der Filterzeichenfolge durch. Wenn Sie einen ungültigen eingeben, wechselt der Hintergrund von Grün zu Rot. Drücken Sie immer die Schaltfläche "Übernehmen" oder die Taste "Enter", um die Filterzeichenfolge anzuwenden.

Sie können einen neuen Filter hinzufügen, indem Sie auf die Schaltfläche „Hinzufügen“ klicken, die ein schwarzes Pluszeichen auf hellgrauem Hintergrund ist. Eine andere Möglichkeit, einen neuen Filter hinzuzufügen, besteht darin, mit der rechten Maustaste auf den Filterschaltflächenbereich zu klicken. Um einen Filter zu entfernen, klicken Sie auf die Minus-Schaltfläche. Die Minus-Schaltfläche wird ausgegraut, wenn kein Filter ausgewählt ist.

Wie filtert man in Wireshark nach IP-Adresse?

Eine hervorragende Funktion von Wireshark ist, dass Sie Pakete nach IP-Adressen filtern können. Befolgen Sie einfach die folgenden Schritte, um eine Anleitung dazu zu erhalten:

  1. Klicken Sie zunächst auf die Plus-Schaltfläche, um einen neuen Anzeigefilter hinzuzufügen.

  2. Führen Sie im Feld Filter den folgenden Vorgang aus: ip.addr==[IP-Adresse] und drücken Sie die Eingabetaste.

  3. Beachten Sie, dass die Packet List Lane jetzt nur den Verkehr filtert, der zu (Ziel) und von (Quelle) der von Ihnen eingegebenen IP-Adresse geht.

  4. Um den Filter zu löschen, klicken Sie auf die Schaltfläche „Löschen“ in der Filtersymbolleiste.

Quell-IP

Sie können die Paketansicht auf diejenigen mit bestimmten Quell-IP-Adressen beschränken, die in diesem Filter angezeigt werden. Führen Sie einfach den folgenden Befehl im Filterfeld aus und drücken Sie die Eingabetaste:

ip.src == [IP-Adresse]

Ziel-IP

Sie können Zielfilter anwenden, um die Paketansicht auf diejenigen mit einer bestimmten Ziel-IP zu beschränken, die im Filter angezeigt wird.

Der Befehl lautet wie folgt:

ip.dst == [IP-Adresse]

Erfassungsfilter vs. Anzeigefilter

Wireshark unterstützt zwei Filtersprachen: Erfassungsfilter und Anzeigefilter. Ersteres wird zum Filtern beim Erfassen von Paketen verwendet. Letztere filtert angezeigte Pakete. Mit Anzeigefiltern können Sie sich auf Pakete konzentrieren, an denen Sie interessiert sind, und diejenigen ausblenden, die derzeit nicht wichtig sind. Sie können Pakete basierend auf mehreren Faktoren anzeigen:

  • Protokoll
  • Feldpräsenz
  • Feldwerte
  • Feldvergleich

Anzeigefilter verwenden eine boolesche Operatorsyntax und Felder, die die Pakete beschreiben, die Sie filtern. Sobald Sie einige Anzeigefilter erstellt haben, ist es einfach, sie zu schreiben. Capture-Filter sind etwas weniger intuitiv, da sie kryptisch sind.

Hier ist eine Übersicht über die Funktionen und Verwendungen der einzelnen Filter:

Aufnahmefilter:

  • Sie werden festgelegt, bevor mit der Erfassung des Datenverkehrs begonnen wird
  • Änderung während der Verkehrserfassung nicht möglich
  • Wird für die Erfassung bestimmter Verkehrstypen verwendet

Anzeigefilter:

  • Sie reduzieren die Pakete, die in Wireshark angezeigt werden
  • Kann während der Verkehrserfassung angepasst werden
  • Wird verwendet, um den Verkehr auszublenden, um bestimmte Verkehrsarten zu bewerten

Weitere Informationen zum Filtern während der Aufnahme finden Sie auf dieser Seite.

Zusätzliche FAQs

Wie filtere ich Wireshark nach URL?

Sie können in Wireshark nach bestimmten HTTP-URLs in der Erfassung suchen, indem Sie die folgende Filterzeichenfolge verwenden:

http enthält „[URL]. “

Beachten Sie, dass Sie die Operatoren „enthält“ nicht für atomare Felder (Zahlen, IP-Adressen) verwenden können.

Wie filtere ich Wireshark nach Portnummer?

Mit dem folgenden Befehl können Sie Wireshark nach Portnummer filtern:

TCP.port eq [Portnummer].

Wie funktioniert Wireshark?

Wireshark ist ein Tool zum Sniffing von Netzwerkpaketen. Es analysiert Netzwerkpakete, indem es eine Internetverbindung herstellt und Pakete registriert, die darüber reisen. Es stellt den Benutzern dann die Informationen zu diesen Paketen bereit, einschließlich Herkunft, Ziel, Inhalt, Protokolle, Nachrichten usw.

Going 007 auf Netzwerk-Sniffing

Dank Wireshark müssen sich Netzwerkingenieure und Administratoren keine Sorgen mehr machen, Diagnosetools für wichtige Netzwerkprobleme zu verpassen. Die leicht zugänglichen und praktischen Funktionen des Programms machen es viel einfacher, Netzwerkschwachstellen zu bewerten und Fehlerbehebungen durchzuführen.

Nachdem Sie unseren Artikel gelesen haben, sollten Sie nun in der Lage sein, die verschiedenen Filteroptionen im Programm zur IP-Filterung zu unterscheiden. Sie haben auch die grundlegenden Zeichenfolgenausdrücke zum Filtern nach IP und vieles mehr gelernt. Hoffentlich hilft dies, alle Netzwerkprobleme zu lösen, auf die Sie möglicherweise stoßen.

Welche anderen Funktionen verwenden Sie häufig in Wireshark? Was unterscheidet Wireshark Ihrer Meinung nach von der Konkurrenz? Teilen Sie Ihre Gedanken im Kommentarbereich unten mit.

Sie können auch mögen

$config[zx-auto] not found$config[zx-overlay] not found