Nützliche Filter:
nur Pakete einer bestimmten IP-Adresse zeigen (egal ob Sender oder Empfänger):
ip.addr == 192.168.1.1
nur Pakete an einen bestimmten Empfänger zeigen:
ip.dst == 192.168.1.1
nur Pakete von einem bestimmten Absender zeigen:
ip.src == 192.168.1.1
nur HTTP-Anfragen zeigen:
http.request
nur verschlüsselte Verbindungen zeigen:
ssl
nur DNS-Kommunikation anzeigen:
dns
Zeige LLMNR/NBT-NS-Abfragen:
udp.port == 5355 || nbns
DHCP-Verkehr anzeigen:
bootp.option.type == 53
ODER
udp.port == 68
nur Pakete zeigen, die eine bestimmte Zeichenfolge enthalten
tcp matches „(?i)SUCHBEGRIFF“
(durch „?i“ wird Groß-/Kleinschreibung ignoriert)
Paket ausblenden, die wiederholt übertragen wurden:
not tcp.analysis.retransmission
Mehrere Filter kombinieren:
http.request && not ip.addr == 192.168.1.1
Wer redet mit wem? (Konversationen aufzeigen):
- Statistics –> Conversations
„Unterhaltungen“ zwischen Client und Server folgen:
- Rechte Maustaste –> Follow TCP Stream
„Top-Talker“ (Endpunkte mit höchstem Netzwerkverbrauch) herausfinden und grafisch darstellen :
- Statistics –> Conversations
- Auf „IPv4“ klicken und absteigend nach der Spalte „Bytes“ sortieren
- Rechtsklick auf den obersten Eintrag –> Prepare a Filter –> Selected –> A <-> B
- Den Filter in die Zwischenablage kopieren
- Statistics –> I/O Graph
- In der unteren Zeile ggf. einen weiteren Graphen einfügen und den Inhalt der Zwischenablage bei „Display filter“ einfügen
IP-Adressen in Hostnamen auflösen:
- View –> Name Resolution –> Enable for Network Layer
- View –> Name Resolution –> Resolve Hostname
Capture Filter – Beispiele:
Nur Pakete aus einem bestimmten Netzwerkbereich aufzeichnen:
net 192.168.0.0/24