Kleine Wireshark-Kunde

Nützliche Filter:

nur Pakete einer bestimmten IP-Adresse zeigen (egal ob Sender oder Empfänger):
ip.addr == 192.168.1.1

nur Pakete an einen bestimmten Empfänger zeigen:
ip.dst == 192.168.1.1

nur Pakete von einem bestimmten Absender zeigen:
ip.src == 192.168.1.1

nur HTTP-Anfragen zeigen:
http.request

nur verschlüsselte Verbindungen zeigen:
ssl

nur DNS-Kommunikation anzeigen:
dns

Zeige LLMNR/NBT-NS-Abfragen:
udp.port == 5355 || nbns

DHCP-Verkehr anzeigen:
bootp.option.type == 53
ODER
udp.port == 68

nur Pakete zeigen, die eine bestimmte Zeichenfolge enthalten
tcp matches „(?i)SUCHBEGRIFF“
(durch „?i“ wird Groß-/Kleinschreibung ignoriert)

Paket ausblenden, die wiederholt übertragen wurden:
not tcp.analysis.retransmission

Mehrere Filter kombinieren:
http.request && not ip.addr == 192.168.1.1

Wer redet mit wem? (Konversationen aufzeigen):

  • Statistics –> Conversations

„Unterhaltungen“ zwischen Client und Server folgen:

  • Rechte Maustaste –> Follow TCP Stream

„Top-Talker“ (Endpunkte mit höchstem Netzwerkverbrauch) herausfinden und grafisch darstellen :

  • Statistics –> Conversations
  • Auf „IPv4“ klicken und absteigend nach der Spalte „Bytes“ sortieren
  • Rechtsklick auf den obersten Eintrag –> Prepare a Filter –> Selected –> A <-> B
  • Den Filter in die Zwischenablage kopieren
  • Statistics –> I/O Graph
  • In der unteren Zeile ggf. einen weiteren Graphen einfügen und den Inhalt der Zwischenablage bei „Display filter“ einfügen

IP-Adressen in Hostnamen auflösen:

  • View –> Name Resolution –> Enable for Network Layer
  • View –> Name Resolution –> Resolve Hostname

Capture Filter – Beispiele:

Nur Pakete aus einem bestimmten Netzwerkbereich aufzeichnen:
net 192.168.0.0/24