Netzwerkadministratoren stoßen bei ihrer Arbeit auf eine Vielzahl von Netzwerkproblemen. Wann immer es eine verdächtige Aktion gibt oder ein bestimmtes Netzwerksegment bewertet werden muss, können Protokollanalysetools wie Wireshark hilfreich sein. Eine besonders nützliche Funktion ist das Filtern von Netzwerkpaketen nach IP-Adressen.
Wenn Sie ein Erstbenutzer sind, finden Sie es möglicherweise etwas schwierig, die Schritte dafür selbst zu konfigurieren. Glücklicherweise haben wir diese ultimative Anleitung zum Filtern nach IP in Wireshark zusammengestellt. Sie werden den Unterschied zwischen den beiden Filtersprachen kennen, neue Filterzeichenfolgen lernen und vieles mehr.
Das Beste ist, dass Sie nur beim ersten Mal Unterstützung bei der Durchführung dieser Schritte benötigen. Jede weitere Aufführung wird ein Kinderspiel!
Was ist Wireshark?
Wireshark ist ein Netzwerk-Paketanalysator, der die Branche seit geraumer Zeit dominiert. Bis zu dem Punkt, an dem viele ähnliche Tools, einschließlich des Microsoft Network Monitor, eingestellt wurden, war es großartig. Die beiden Hauptmerkmale, die Wireshark berühmt gemacht haben, sind seine Flexibilität und Benutzerfreundlichkeit.
Netzwerkpaketanalysatoren sind Werkzeuge, die den Datenverkehr in bestimmten Kommunikationskanälen so detailliert wie möglich erfassen und analysieren. Sie dienen als ultimative Diagnosewerkzeuge für eingebettete Systeme.
Wireshark verfügt über die erstklassige Fähigkeit, Pakete während der Erfassung und bei der Analyse mit unterschiedlichen Komplexitätsstufen zu filtern. Dies macht es sowohl für Einsteiger als auch für Netzwerküberwachungsprofis gleichermaßen praktisch. Wireshark nimmt auch Datenverkehr von verschiedenen anderen Protokollanalysatoren auf und analysiert ihn, wodurch es einfach ist, vergangenen Datenverkehr zu bestimmten Zeiten in der Vergangenheit zu überprüfen.
Vor Wireshark waren Netzwerk-Tracking-Tools sehr teuer oder proprietär. Das änderte sich mit dem Aufkommen dieser App. Die Software ist Open Source und unterstützt alle wichtigen Plattformen. Dies brachte Wireshark viel Community-Unterstützung, wodurch die Kosten als Barriere abgebaut und Platz für eine Vielzahl von Schulungsmöglichkeiten geschaffen wurden.
Hier ist, warum Leute Wireshark verwenden möchten:
- Fehlerbehebung bei Netzwerkproblemen
- Untersuchung von Sicherheitsproblemen
- Untersuchen von Netzwerkanwendungen
- Debuggen von Protokollimplementierungen
- Lernen Sie die Interna des Netzwerkprotokolls kennen
Wireshark kann kostenlos heruntergeladen werden. Falls Sie es noch nicht getan haben, können Sie dies tun Hier . Laden Sie einfach die ausführbare Datei herunter und klicken Sie auf die Datei, um sie zu installieren.
Die Wireshark-Benutzeroberfläche
Nach dem Herunterladen und Installieren von Wireshark können Sie über Ihre lokale Shell oder Ihren Fenstermanager darauf zugreifen. Eines der ersten Dinge, die Sie tun müssen, ist, eine Netzwerkschnittstelle aus der Liste der Netzwerke auf Ihren Computeradaptern auszuwählen.
Sie können im Menü auf Capture und dann auf Interfaces klicken und die entsprechende Option auswählen.
wie oft macht google earth bilder
Das Hauptfenster in der Wireshark-Oberfläche besteht aus mehreren Teilen:
- Menü – zum Starten von Aktionen
- Hauptsymbolleiste – schneller Zugriff auf Elemente, die Sie häufig über das Menü verwenden
- Filtersymbolleiste – hier können Sie Anzeigefilter einstellen
- Paketlistenbereich – erfasste Paketzusammenfassungen
- Detailbereich – weitere Informationen zu ausgewählten Paketen aus der Paketspur
- Bytes-Bereich – Daten aus dem Paket des Paketlistenbereichs, wobei das ausgewählte Feld in diesem Bereich hervorgehoben wird
- Statusleiste – Erfasste Daten und laufende Programmstatusinformationen
Sie können die Paketlisten steuern und vollständig mit Ihrer Tastatur durch die Details navigieren. Es gibt eine Tabelle mit allgemeinen Tastenkombinationsbefehlen Hier .
Wie füge ich Filter in Wireshark hinzu?
In der Filter-Symbolleiste können Sie neue Anzeigefilter anpassen und ausführen.
Wie man Mods zu Minecraft Realms hinzufügt
Um Erfassungsfilter zu erstellen und zu bearbeiten, gehen Sie im Lesezeichenmenü zu Erfassungsfilter verwalten oder navigieren Sie im Hauptmenü zu Erfassung und dann zu Erfassungsfilter.
Um Anzeigefilter zu erstellen und zu bearbeiten, wählen Sie Anzeigefilter verwalten aus dem Lesezeichenmenü oder gehen Sie zum Hauptmenü und wählen Sie Analysieren und dann Anzeigefilter.
Sie sehen einen Filtereingabebereich mit grünem Hintergrund. Dies ist der Bereich, in dem Sie Anzeigefilterzeichenfolgen eingeben und bearbeiten. Hier sehen Sie auch den aktuell angewendeten Filter. Klicken Sie einfach auf den Filternamen oder doppelklicken Sie auf die Zeichenfolge, um sie zu bearbeiten.
Während Sie schreiben, führt das System eine Systemprüfung der Filterzeichenfolge durch. Wenn Sie einen ungültigen eingeben, ändert sich der Hintergrund von grün auf rot. Drücken Sie immer die Schaltfläche Anwenden oder die Eingabetaste, um die Filterzeichenfolge anzuwenden.
Sie können einen neuen Filter hinzufügen, indem Sie auf die Schaltfläche Hinzufügen klicken, die ein schwarzes Pluszeichen auf hellgrauem Hintergrund ist. Eine andere Möglichkeit, einen neuen Filter hinzuzufügen, besteht darin, mit der rechten Maustaste auf den Filterschaltflächenbereich zu klicken. Um einen Filter zu entfernen, klicken Sie auf die Minus-Schaltfläche. Die Minus-Schaltfläche ist ausgegraut, wenn kein Filter ausgewählt ist.
Wie kann man in Wireshark nach IP-Adresse filtern?
Eine hervorragende Funktion von Wireshark ist, dass Sie Pakete nach IP-Adressen filtern können. Befolgen Sie einfach die folgenden Schritte, um Anweisungen dazu zu erhalten:
- Klicken Sie zunächst auf die Plus-Schaltfläche, um einen neuen Anzeigefilter hinzuzufügen.
- Führen Sie die folgende Operation im Feld Filter aus: ip.addr==[IP-Adresse] und drücken Sie die Eingabetaste.
- Beachten Sie, dass die Packet List Lane jetzt nur den Datenverkehr filtert, der zu (Ziel) und von (Quelle) der von Ihnen eingegebenen IP-Adresse geht.
- Um den Filter zu löschen, klicken Sie auf die Schaltfläche „Löschen“ in der Symbolleiste „Filter“.
Quell-IP
Sie können die Paketansicht auf diejenigen mit bestimmten Quell-IP-Adressen beschränken, die in diesem Filter erscheinen. Führen Sie einfach den folgenden Befehl im Filterfeld aus und drücken Sie die Eingabetaste:
|_+_|
Ziel-IP
Sie können Zielfilter anwenden, um die Paketansicht auf diejenigen mit einer bestimmten Ziel-IP zu beschränken, die im Filter angezeigt wird.
Der Befehl lautet wie folgt:
|_+_|
Erfassungsfilter vs. Anzeigefilter
Wireshark unterstützt zwei Filtersprachen: Erfassungsfilter und Anzeigefilter. Ersteres wird zum Filtern beim Erfassen von Paketen verwendet. Letzteres filtert angezeigte Pakete. Mit Anzeigefiltern können Sie sich auf Pakete konzentrieren, die Sie interessieren, und diejenigen ausblenden, die derzeit nicht wichtig sind. Sie können Pakete basierend auf mehreren Faktoren anzeigen:
- Protokoll
- Feldpräsenz
- Feldwerte
- Feldvergleich
Anzeigefilter verwenden eine boolesche Operatorsyntax und Felder, die die Pakete beschreiben, die Sie filtern. Sobald Sie einige Anzeigefilter erstellt haben, wird es einfach, sie zu schreiben. Aufnahmefilter sind etwas weniger intuitiv, da sie kryptisch sind.
Hier ist eine Übersicht über die Funktionen und Verwendungszwecke der einzelnen Filter:
Erfassungsfilter:
- Sie werden festgelegt, bevor mit der Erfassung des Datenverkehrs begonnen wird
- Eine Änderung während der Verkehrserfassung ist nicht möglich
- Wird für die Erfassung bestimmter Verkehrstypen verwendet
Anzeigefilter:
- Sie reduzieren die Pakete, die in Wireshark angezeigt werden
- Kann während der Verkehrserfassung angepasst werden
- Wird zum Ausblenden von Datenverkehr verwendet, um bestimmte Datenverkehrstypen zu bewerten
Weitere Informationen zum Filtern während der Erfassung finden Sie unter diese Seite .
Weitere häufig gestellte Fragen
Wie filtere ich Wireshark nach URL?
Sie können nach bestimmten HTTP-URLs in der Erfassung in Wireshark suchen, indem Sie die folgende Filterzeichenfolge verwenden:
|_+_|
Beachten Sie, dass Sie die Operatoren contains nicht für atomare Felder (Zahlen, IP-Adressen) verwenden können.
Wie filtere ich Wireshark nach Portnummer?
Sie können den folgenden Befehl verwenden, um Wireshark nach Portnummer zu filtern:
wie alt ist mein rechner?
|_+_|
Wie funktioniert Wireshark?
Wireshark ist ein Netzwerkpaket-Sniffing-Tool. Es analysiert Netzwerkpakete, indem es eine Internetverbindung herstellt und Pakete registriert, die darüber übertragen werden. Anschließend stellt es den Benutzern die Informationen zu diesen Paketen bereit, einschließlich Ursprung, Ziel, Inhalt, Protokolle, Nachrichten usw.
Gehen 007 auf Netzwerk-Sniffing
Dank Wireshark müssen sich Netzwerkingenieure und Administratoren keine Sorgen mehr machen, dass sie Diagnosetools für wichtige Netzwerkprobleme verpassen. Die leicht zugänglichen und praktischen Funktionen des Programms machen es viel einfacher, Netzwerkschwachstellen zu bewerten und Fehlerbehebungen durchzuführen.
Nachdem Sie unseren Artikel gelesen haben, sollten Sie nun in der Lage sein, den Unterschied zwischen verschiedenen Filteroptionen im Programm im Zusammenhang mit der IP-Filterung zu erkennen. Sie haben auch die grundlegenden Zeichenfolgenausdrücke zum Filtern nach IP und vieles mehr gelernt. Hoffentlich hilft dies bei der Lösung aller Netzwerkprobleme, auf die Sie möglicherweise stoßen.
Welche anderen Funktionen verwenden Sie häufig in Wireshark? Was unterscheidet Ihrer Meinung nach Wireshark von der Konkurrenz? Teilen Sie Ihre Gedanken im Kommentarbereich unten mit.
