Wie kann ich in Wireshark einen bestimmten Netzwerkprotokolltyp filtern?
- Die Grundlagen der Filterung nach Protokolltyp
- So verwenden Sie Display-Filter für Protokolle
- Komplexere Filter
- Hilfestellung bei der Filtereingabe
- Zusammenfassung
Wireshark ist ein weit verbreitetes Werkzeug zur Analyse von Netzwerkpaketen. Um innerhalb einer oft sehr großen Menge an erfassten Daten gezielt nur bestimmte Netzwerkprotokolle betrachten zu können, bietet Wireshark eine mächtige Filterfunktion. Mit diesen Filtern lassen sich Pakete nach Protokollarten, IP-Adressen, Ports und vielen weiteren Kriterien selektieren.
Die Grundlagen der Filterung nach Protokolltyp
In Wireshark funktioniert das Filtern nach Protokolltyp über sogenannte Display-Filter. Diese sorgen dafür, dass nur Pakete angezeigt werden, die einem bestimmten Kriterium entsprechen. Ein Display-Filter für einen Protokolltyp basiert im Allgemeinen auf dem Namen des Protokolls, wie er in Wireshark für die jeweiligen Pakete verwendet wird. Typische Beispiele für solche Protokollnamen sind tcp, udp, http, dns oder icmp.
So verwenden Sie Display-Filter für Protokolle
Um einen bestimmten Netzwerkprotokolltyp zu filtern, geben Sie diesen ganz einfach in das Filterfeld am oberen Rand des Wireshark-Fensters ein. Möchten Sie zum Beispiel alle HTTP-Pakete anzeigen, tippen Sie http in die Filterzeile ein und aktivieren den Filter mit der Enter-Taste oder mittels Klick auf den Button Apply. Wireshark zeigt daraufhin nur noch Pakete an, die das HTTP-Protokoll verwenden.
Ähnlich funktioniert dies für andere Protokolle. Für ICMP-Pakete nutzen Sie z.B. icmp, für DNS dns, für TCP-Verkehr tcp und für UDP-Pakete udp. Dies ist besonders nützlich, wenn Sie sich auf eine bestimmte Kommunikation konzentrieren möchten oder nur eine Art von Datenpaketen analysieren möchten.
Komplexere Filter
Es ist außerdem möglich, mehrere Filter zu kombinieren, um noch gezielter zu suchen. Dies erfolgt durch logische Operatoren wie and, or und not. Möchten Sie beispielsweise alle HTTP- und DNS-Pakete anzeigen, schreiben Sie http or dns. Wenn Sie ausschließlich TCP-Pakete sehen möchten, die auf Port 80 laufen, geben Sie tcp.port == 80 ein.
Wireshark unterstützt also sehr flexible und mächtige Filterregeln, die sowohl auf den Protokollnamen als auch auf einzelne Felder innerhalb des Protokolls zugreifen können.
Hilfestellung bei der Filtereingabe
Während der Eingabe des Filters bietet Wireshark eine automatische Vervollständigung an und zeigt eine Liste der passenden Protokolle und Filterattribute an. Zudem prüft Wireshark, ob der eingegebene Filter syntaktisch korrekt ist und signalisiert Fehler direkt im Filterfeld. Dies erleichtert die korrekte Eingabe maßgeblich.
Zusammenfassung
Um in Wireshark einen bestimmten Netzwerkprotokolltyp zu filtern, geben Sie dessen Namen einfach als Display-Filter in das Filterfeld oben im Programm ein. Die gängigsten Protokolle lassen sich so schnell anzeigen. Für detailliertere Analysen können Sie Filter mit logischen Operatoren kombinieren oder spezifische Protokollfelder abfragen. Die integrierte Filterhilfe unterstützt Sie dabei, den gewünschten Filter korrekt zu erstellen.