Wireshark Grundkurs

Filter kombinieren

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Wireshark ermöglicht es, mehrere unterschiedliche Filter miteinander zu kombinieren und dadurch einen erweiterten, benutzerdefinierten Display-Filter zu erstellen.

Transkript

Lassen Sie uns in diesem Video doch etwas tiefer in den Displayfilter einsteigen. Doch bevor wir etwas tiefer einsteigen, zeige ich Ihnen erst mal, dass wir auch nur mit den Oberpunkten und ohne Operatoren filtern können. Also zum Beispiel geben wir oben einfach ip ein, Enter und haben auf den IP-Verkehr gefiltert. Wir können aber genauso http eingeben, DNS oder ARP wären natürlich auch möglich. So kann man relativ einfach nach bestimmten Dingen suchen. Jetzt möchten wir aber mehrere Bedingungen kombinieren. Nehmen wir also zum Beispiel mal eine Quell-IP und eine Ziel-IP und einem Port. ip.scr==10.0.2.15 and ip.dst==188 210.44.215 and tcp.port=80. Wunderbar, funktioniert. Jetzt möchte ich aber noch den http-Verkehr herausfiltern. Das mache ich mit &&!http, wobei && eine alternative Schreibweise für End ist und das ! eine Negation bedeutet, also nicht http. Sie können auch den Begriff not verwende. Wir können jetzt noch and und or kombinieren. Aber passen Sie hierbei auf. Damit der Computer es genauso filtert, wie Sie es wollen, sollten Sie mit Klammern arbeiten. Was Ihnen aber auch durch einen gelben Hintergrund angezeigt wird. Ändern wir den Filter also mal und zwar soll er jetzt statt der Ziel-IP, eine alternative Quell-IP abfragen. Wir ändern hier also auf scr und hier den Begriff auf or und schon wird das Feld gelb. Wenn wir jetzt nun die Klammern setzen, ist das das Feld wieder grün. Der Computer weiß nun ganz genau, was er zu tun hat. Wir können dieses or auch ersetzen durch zwei Pipes. Das ist einfach eine alternative Schreibweise. Sie können aber auch vor die Klammer eine Negation setzen. Also ein ! oder ein not. Wir ändern den Filter wieder ab and und hier vorne ein not. Okay, dann gibt es noch den Substream. Also ein Ausschnitt von einem Feld. Nehmen wir nun einen neuen Filter, zum Beispiel http.user_agent. In der http-Verbindung, die ich aufgezeichnet habe, ist der user agent Mozilla. Wir möchten jetzt aber nur einen Ausschnitt von Mozilla vergleichen. Beispielhaft, wir nehmen die [ und sagen zum Beispiel Absteller1 und zwar :2] Zeichen lang. Beachten Sie bitte, dass die Stellen ab null angefangen werden zu zählen. Ich vergleiche das nun also mit =="oz" von Mozilla. Okay, wir können allerdings auch hingehen und sagen: Von Stelle 1 bis Stelle 2, das wäre das gleiche Ergebnis. Wir könnten das aber auch abändern und sagen: Von den ersten Stelle ab, also von der nullten Stelle ab, zwei Zeichen lang [:2]. Dann müssen wir das hier abändern, in "Mo" und würden das auch filtern. Wir können aber auch mehrere einzelne Zeichen abfragen und zwar mit Komma separieren. Also die Stelle 0 und die Stelle 2, müssen den Filter anpassen auf "Mz" und könnten so auch rausfiltern. Und als letztes gibt es noch xor, das exklusive oder Exklusiv heißt, bei einem normalen oder können auch schon mal beide Vergleiche wahr sein. Das exklusive oder schließt das aus. Quasi ein Entweder Oder. Aber Vorsicht das xor funktioniert nicht in allen Wireshark-Versionen einwandfrei. Nun zeige ich Ihnen noch kurz einen beliebten Fehler beim Filtern. Wir filtern auf ip.addr==10.0.2.15. Jetzt bekomme ich alle Pakete angezeigt, die in der Source-Adresse oder Destination-Adresse diese IP-Adresse haben. Und jetzt möchte ich aber angezeigt bekommen alle Pakete die diese Adresse nicht haben. Ich mache hier ein ungleich != hin und bekomme trotzdem alle Pakete angezeigt. Das ist ein beliebter Fehler, denn diese IP-Adresse ist in der Destination-Adresse hier in diesem Paket zum Beispiel nicht enthalten und wird deshalb angezeigt. Sie ist ja ungleich. Wir müssen nun hingehen und wieder auf == ändern, diese Abfrage in Klammern setzen und ein ! zur Negation davor. So nun haben wir die Daten herausgefiltert. Mit diesen Mitteln sollten Sie nun jedes Paket finden, was Sie suchen.

Wireshark Grundkurs

Analysieren Sie netzwerkspezifische Probleme mithilfe des kostenfreien Programms Wireshark. Sie lernen Netzwerkdaten mitzuschneiden und auszuwerten.

3 Std. 46 min (53 Videos)
Derzeit sind keine Feedbacks vorhanden...
Exklusiv für Abo-Kunden
Ihr(e) Trainer:
Erscheinungsdatum:12.08.2015
Laufzeit:3 Std. 46 min (53 Videos)

Die Aussagen zur Rechtssituation in diesem Video-Training beziehen sich auf die Situation in Deutschland bis August 2015 und stellen keine Rechtsberatung dar. Eine Einzelfall-bezogene ausführliche Beratung durch einen hierauf spezialisierten Anwalt wird hierdurch nicht ersetzt.

Alle lokalen Mitschnitte wurden ausschließlich in Demonstrationsnetzwerken mit nachgestellten IP-Adressen erstellt.

Trafficgeneratoren und Software für Penetrationstests zum Erstellen von Spezialdaten für das Video-Training wurde ausschließlich in abgeschotteten Laborumgebungen verwendet.

Öffentliche Abrufe von Webseiten dienen ausschließlich zu Informationszwecken z.B. für Statistiken – oder die Mitschnitte wurden ausdrücklich für dieses Videotraining genehmigt.

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!