Welche Schritte sind notwendig, um in Wireshark Pakete aus einer bestimmten Zeitspanne zu extrahieren?
- Vorbereitung: Capture-Datei öffnen oder neuen Mitschnitt starten
- Zeitfenster bestimmen
- Filter-Syntax für Zeitangaben wählen
- Display-Filter anwenden
- Pakete extrahieren (Exportieren)
- Alternative: TShark für skriptgesteuerte Extraktion
- Prüfung und Nachbearbeitung
Vorbereitung: Capture-Datei öffnen oder neuen Mitschnitt starten
Zuerst öffnen Sie in Wireshark die vorhandene Capture-Datei (File → Open) oder starten einen neuen Mitschnitt (Capture → Start). Für nachträgliches Extrahieren aus einer vorhandenen Datei ist die geöffnete Datei ausreichend. Bei laufendem Mitschnitt sollten Sie beachten, dass der Zeitstempel der Pakete der Systemzeit des aufzeichnenden Rechners entspricht; stellen Sie sicher, dass Zeitzone und Uhrzeit korrekt sind.
Zeitfenster bestimmen
Bestimmen Sie das gewünschte Zeitfenster präzise: Anfangs- und Endzeitpunkt inklusive Datum und Uhrzeit. Prüfen Sie in Wireshark den Zeitstempelbereich der geöffneten Datei, indem Sie ein frühes und ein spätes Paket auswählen und die Spalte „Time“ bzw. „Time of Day“ betrachten. Notieren Sie die exakte Schreibweise (z. B. 2026-03-31 14:05:12.123456), damit späteres Filtern zuverlässig funktioniert.
Filter-Syntax für Zeitangaben wählen
Wireshark unterstützt keine direkte Zeitbereichsangabe im Display-Filter in Form von „between timestamps“, aber Sie können das Feld frame.time oder frame.time_epoch nutzen. Für präzise numerische Vergleiche eignet sich frame.time_epoch, das Unix-Epoch-Zeit in Sekunden (floating point) enthält. Berechnen oder konvertieren Sie Ihre gewünschten Anfangs- und Endzeiten in Epoch‑Sekunden (inkl. Bruchteile für Millisekunden/Mikrosekunden). Alternativ können Sie mit frame.time nach Textteilen filtern, was weniger exakt ist und von der lokalen Formatierung abhängt.
Display-Filter anwenden
Geben Sie im Display-Filter-Feld eine Bedingung wie
frame.time_epoch >= START && frame.time_epoch <= END
ein, wobei START und END durch die berechneten Epoch-Werte ersetzt werden. Beispiel: frame.time_epoch >= 1679874312.123 && frame.time_epoch <= 1679874372.456. Anwenden des Filters zeigt nur die Pakete aus diesem Zeitraum an.
Pakete extrahieren (Exportieren)
Nachdem der Display-Filter aktiv ist und nur die gewünschten Pakete sichtbar sind, nutzen Sie File → Export Specified Packets (in älteren Versionen File → Save As mit „Displayed“ Packets). Wählen Sie das gewünschte Ausgabeformat (pcapng oder pcap) und einen Dateinamen. Achten Sie auf Optionen wie „Export packets matching the display filter“ bzw. „Displayed“, damit wirklich nur die gefilterten Pakete gespeichert werden.
Alternative: TShark für skriptgesteuerte Extraktion
Für Automatisierung oder wenn Sie die Zeiteingabe einfacher in Epoch umwandeln möchten, verwenden Sie TShark (Kommandozeile). Beispiel:
tshark -r input.pcap -Y "frame.time_epoch >= START && frame.time_epoch <= END" -w output.pcap
TShark akzeptiert dieselbe Filter-Syntax und eignet sich für Batch‑Skripte.
Prüfung und Nachbearbeitung
Öffnen Sie die exportierte Datei in Wireshark, um zu verifizieren, dass nur das gewünschte Zeitfenster enthalten ist. Falls Zeitstempel nicht wie erwartet sind (Zeitzonenprobleme, Fehlanpassungen), überprüfen Sie die ursprüngliche Aufnahmeumgebung und konvertieren ggf. erneut. Wenn Sie nur bestimmte Protokolle oder Adressen zusätzlich einschränken möchten, kombinieren Sie Zeitfilter mit weiteren Display-Filtern (z. B. && ip.addr == 192.0.2.1).
Damit haben Sie die Schritte, von Festlegung des Zeitfensters über Filterbildung bis zum Export — sowohl GUI- als auch CLI‑basiert — um Pakete aus einer bestimmten Zeitspanne zu extrahieren.