Technologie

Wie kann ich in Wireshark nach einer MAC Adresse filtern?

Melden
  1. Einführung in Wireshark und MAC Adressen
  2. Grundlagen des Filterns in Wireshark
  3. Der richtige Filterausdruck für MAC Adressen
  4. Filtern nur nach Quell- oder Ziel-MAC Adresse
  5. Anwendung des Filters in Wireshark
  6. Fazit

Einführung in Wireshark und MAC Adressen

Wireshark ist ein weit verbreitetes Netzwerk-Analyse-Tool, das es ermöglicht, den Datenverkehr in einem Netzwerk detailliert zu untersuchen. Eine wichtige Information in Netzwerken sind MAC Adressen (Media Access Control), die eindeutig sind und jedem Netzwerkgerät zugewiesen werden. Wenn man in Wireshark nur den Datenverkehr eines bestimmten Geräts analysieren möchte, kann man die Erfassung auf dessen MAC Adresse filtern. Dies vereinfacht das Auffinden relevanter Pakete erheblich.

Grundlagen des Filterns in Wireshark

Wireshark bietet eine mächtige Filterfunktion, mit der die gesamte Menge an Netzwerkpaketen nach bestimmten Kriterien durchsucht und eingeschränkt werden kann. Dabei unterscheidet Wireshark zwischen Capture-Filtern und Display-Filtern. Capture-Filter wirken sich bereits beim Mitschnitt aus, Display-Filter dagegen werden nach der Erfassung angewendet, um die Darstellung der Pakete zu filtern. Für das Filtern nach MAC Adresse verwendet man in der Regel einen Display-Filter.

Der richtige Filterausdruck für MAC Adressen

Um in Wireshark nach einer bestimmten MAC Adresse zu filtern, verwendet man den Display-Filter `eth.addr`. Dieser Filter steht für die Ethernet-Adresse der Pakete. Möchte man beispielsweise nur Pakete sehen, bei denen die Quell- oder Zieladresse eine bestimmte MAC Adresse ist, schreibt man:

Dabei ersetzt man xx:xx:xx:xx:xx:xx durch die gewünschte MAC Adresse. Es ist wichtig, jeweils zwei Hexadezimalstellen durch Doppelpunkte getrennt anzugeben.

Filtern nur nach Quell- oder Ziel-MAC Adresse

Falls man den Datenverkehr nach der Quell-MAC Adresse erfassen möchte, nutzt man den Filter `eth.src`, also etwa:

Möchte man nur Pakete mit einer bestimmten Ziel-MAC Adresse anzeigen, verwendet man stattdessen:

Anwendung des Filters in Wireshark

Um den Filter in Wireshark anzuwenden, gibt man den gewünschten Ausdruck in das Filterfeld oberhalb der Paketliste ein und drückt Enter. Wireshark zeigt daraufhin nur noch die Pakete an, die dem Filter entsprechen. So kann man schnell den gesamten Netzwerkverkehr eines bestimmten Geräts anhand seiner MAC Adresse untersuchen.

Fazit

Das Filtern nach MAC Adresse in Wireshark ist ein wichtiger Schritt, um gezielt den Netzwerkverkehr von bestimmten Geräten zu analysieren. Mithilfe der Filter wie `eth.addr`, `eth.src` oder `eth.dst` lassen sich die Pakete anhand ihrer Herkunft oder ihres Ziels präzise selektieren. Die korrekte Eingabe des Filters ermöglicht eine effiziente und übersichtliche Untersuchung von Netzwerkdaten.

0

Kommentare