Wie kann man in Wireshark einen bestimmten Port anzeigen?
- Grundlagen zu Ports und deren Bedeutung in Wireshark
- Das Filtern nach Ports in Wireshark
- So funktioniert der Filter konkret
- Wie man den Filter in Wireshark eingibt
- Zusammenfassung
Wireshark ist ein sehr leistungsfähiges Werkzeug zur Analyse von Netzwerkverkehr. Oftmals möchte man jedoch nicht den gesamten Datenverkehr betrachten, sondern sich auf bestimmte Kommunikationskanäle konzentrieren, beispielsweise auf einen bestimmten Port. In diesem Artikel wird ausführlich erklärt, wie man in Wireshark gezielt Pakete anzeigt, die über einen bestimmten Port laufen.
Grundlagen zu Ports und deren Bedeutung in Wireshark
Ein Port ist eine nummerierte Schnittstelle, die sowohl in der TCP- als auch in der UDP-Kommunikation verwendet wird, um den Datenverkehr an den richtigen Dienst oder die richtige Anwendung auf einem Computer zu adressieren. Wireshark erkennt diese Ports und erlaubt es, den Datenverkehr nach ihnen zu filtern, um so gezielt Pakete bestimmter Anwendungen oder Protokolle zu untersuchen.
Das Filtern nach Ports in Wireshark
Wireshark bietet eine mächtige Filterfunktion, um nur die relevanten Pakete anzuzeigen. Um Pakete an einem bestimmten Port anzuzeigen, nutzt man sogenannte Display-Filter. Diese Filter können TCP- oder UDP-Ports umfassen. Zum Beispiel zeigt der Filter tcp.port == 80 den gesamten TCP-Datenverkehr, der den Port 80 involviert, also etwa HTTP-Verkehr. Für UDP funktioniert ein ähnlicher Filter mit udp.port == 53, um DNS-Anfragen anzuzeigen.
So funktioniert der Filter konkret
Die Filterausdrucke können sowohl an Quell- als auch an Zielports ansetzen. Wenn man nur Pakete sehen möchte, die zum Beispiel an Port 443 gesendet werden, verwendet man tcp.dstport == 443. Soll sowohl Quell- als auch Zielport betrachtet werden, kann man statt tcp.port == 443 verwenden. Diese Flexibilität macht es möglich, den Netzwerkverkehr sehr spezifisch zu untersuchen, abhängig von den eigenen Analysezielen.
Wie man den Filter in Wireshark eingibt
Um den Portfilter anzuwenden, öffnet man Wireshark, startet die Paketerfassung oder lädt eine vorhandene Capture-Datei. Im Eingabefeld oberhalb der Paketliste gibt man dann den gewünschten Filter wie tcp.port == 22 oder udp.port == 123 ein und bestätigt mit Enter. Wireshark zeigt daraufhin nur die Pakete, die diesen Filterkriterien entsprechen.
Zusammenfassung
Das Anzeigen von Ports in Wireshark ist ein wesentlicher Bestandteil der Netzwerk-Analyse. Durch die Verwendung von Display-Filtern wie tcp.port == oder udp.port == können Nutzer den Datenverkehr gezielt auf einen bestimmten Port beschränken und so schnell relevante Informationen herausfiltern. Das erleichtert nicht nur die Fehlersuche, sondern auch das Monitoring von Netzwerkdiensten.