• Startseite
• Microsoft
  • Windows 11
  • Windows 10
  • Windows 8 / 8.1
  • Windows 7
  • Vista
  • WinXP
  • Windows Server
  • Aktive-Directory
  • Exchange Server
  • Microsoft 365
  • Windows Hyper-V
  • FAQs
  • FAQs - Windows Updates
  • FAQs - LAN
  • Windows IPv6
  • Edge / Internet-Explorer
  • WinPE
  • Kommandozeile
  • PowerShell
  • Scripte
  • Windows Subsystem for Linux
  • Windows Tasten und Verzeichnisse
  • Registry
  • Windows 9x
• Linux
  • Linux_Befehle
  • Programme_einrichten
  • Linux_System
  • Firewall
  • Shell_Scripte
  • FAQs
  • Debian
  • ubuntu
  • ArchLinux
  • OpenSUSE
  • RedHat/Feudora
  • Solus
• andere Betriebssysteme
  • Übersicht
  • NAS / ISCSI
  • Firewall
  • Security
  • Solaris
  • Novell
  • Mac OSX
  • Übersicht
  • BSD FAQs
  • OpenBSD
  • FreeBSD
• Software
  • diverse Software
  • Tobit DvISE
  • Virtualisierung
  • Emulatoren
  • SQL-Server
  • CMS
  • Groupware
  • DMS
  • Cloud-Dienste
  • VoIP
• Hardware
  • diverse Hardware
  • Router / WLAN
  • NAS
  • Mobile Device
  • UEFI
• TCP/IP
  • TCP/IP
  • Subnetting
  • IPv6
  • VoIP
  • Shell Verbindungen
  • VLAN einrichten
• Security Tipps
• Kabelbelegung
  • Ethernet
  • Telefon
  • serielle / V24
  • Mouse / Tastatur
  • paralell
  • SATA
  • SCSI
  • Power
  • USB
  • FireWire
  • Modem / Nullmodem
  • Monitor
  • Kabellängen
• DNS Suffix
• Begriffserläuterung
• sonstiges
  • sonstiges
  • Suchmaschinen
  • ADSL-Tips
  • Suche

Wireshark

---

Navigation:

• CaptureFilter
• DisplayFilter
• VoIP Analyse
• sonstiges

Links:
Network Lab WireShark Tutorial
Übersicht vordefinierter Display Filter
Übersicht HTTP Filter

CaptureFilter

WireShark unterscheidet zwischen DisplayFilter und Capture Filter, der DisplayFilter wird auf die Anzeige der aufgezeichneten Pakete angewendet und der Capture Filter zeichnet die Pakete die ausgefiltert werden, garnicht erst auf. Das ist bei großen Datenmengen empfehlenswert.

Operatoren	Beschreibung
! oder not	Negation
&& oder and	logische UND-Verknüpfung
|| oder or	logische ODER-Verknüpfung
&	bitweise UND-Verknüpfung

Filter	Erklärung
[src|dst] host <ip-address|host-name>
Filtern von Paketen die von/zu einem Host, der Filter wirkt auf der OSI Schicht 3 Vermittlungsschicht.
host 192.168.0.10	alle Pakete vom/zur IP 192.168.0.10
host www.domain.tld	wie oben nur mit Domainnamen
src host 192.168.0.10	nur die QuellPakete mit der IP 192.168.0.10
dst host www.domain.tld	nur die ZielPakete für www.domain.tld
ether [src|dst] host <ehost>
Filtern von Paketen die von/zu einer MAC Adresse, der Filter wirkt auf der OSI Schicht 2 Sicherungsschicht.
ether host 00:0B:5D:96:13:9F	alle Pakete vom/zur MAC
ether src host 00:0B:5D:96:13:9F	alle QuellPakete mit der MAC
ether dst host 00:0B:5D:96:13:9F	alle ZielPakete mit der MAC
[src|dst] net <net> [mask <mask> | len <len>]
Filtern von Paketen die von/zu einem Netzwerk, der Filter wirkt auf der OSI Schicht 3 Vermittlungsschicht.
net 192.168	alle Pakete des Netzes 192.168.xxx.xxx
net 10 mask 255.255.0.0	alle Pakete des Netzes 10.xxx.xxx.xxx mit der Subnetmask 255.255.0.0
src net 172.16	QuellPakete des Netzes 172.16.xxx.xxx
dst net 192.168.0	ZielPakete des Netzes 192.168.0.xxx
	nur Pakete mit ZielPort 22
host 192.168.0.10 && port 22
[tcp|udp] [src|dst] port <port>
Filter für die Protokolle TCP/UDP vom/zum Port, der Filter wirkt auf der OSI Schicht 4 Transportschicht.
port 110	alle UDP und TCP Pakete vom/zum Port 110
dst port 53	alle UDP und TCP mit dem ZielPort 53
tcp dst port 80	nur TCP Pakete mit dem ZielPort 80
<protocol>
Filtert nach angegebenen Protokollen icmp, igmp, igrp, pim, ah, esp, vrrp, udp, tcp usw.
tcp	alle TCP Pakete
udp	alle UDP Pakete
icmp	alle ICMP Pakete
icmp6 | igmp | igrp | pim | ah | esp | vrrp | moprc | mopdl | lat | sca | decent | atalk | rarp | arp | ip | ip6 | aarp| iso |stp | ipx | netbeui	Übersicht der Protokolle
icmpv6.nd.ra.flag	alle Pv6 Router Advertisement Flags
less|greater <length> bzw. len <= | >= <length>
Filtert Pakete die kleiner oder gleich bzw. größer oder gleich dem Wert sind.
less 100	Pakete kleiner oder gleich 100 Byte
len <=100	Pakete kleiner oder gleich 100 Byte
len < 100	Pakete kleiner 100 Byte
greather 100	Pakete größer oder gleich 100 Byte
len >= 100	Pakete größer oder gleich 100 Byte
len >100	Pakete größer 100 Byte
len = 100	Pakete gleich 100 Byte
[ether|ip] broadcast|multicast
Filter für Broadcast/Multicast Pakete auf IP (OSI Schicht 3) und Ethernet (OSI Schicht 2) Schicht.
broadcast	alle Broadcast Pakete
multicast	alle Multicast Pakete
ip brodcast	alle IP Broadcast Pakete
ip multicast	alle IP Multicast Pakete
ether broadcast	alle Ethernet Broadcast Pakete
ether multicast	alle Ethernet Multicast Pakete
proto \<protocol>
nach Protokollen filtern, die Protokolle müssen mit Escape-Zeichen angegeben werden. Angegeben kann tcp, udp, ip, icmp
proto \tcp	alle TCP Pakete
proto \icmp	alle ICMP Pakete
ip|ip6 proto \<protocol>
IP|IPv6 Pakete nach Protokollen filtern, es kann tcp, udp, icmp Protokolle gefiltert werden.
ip proto \udp
ip6 proto \icmp
ether proto \<protocol>
Ethernet Pakete nach Protokollen filtern, es kann tcp, udp, icmp Protokolle gefiltert werden.
ether proto \ip	alle IP Pakete
ether proto \arp	alle ARP Pakete
Beispiele
ip && less 160	IP Pakete die kleiner oder gleich 160 Byte sind
ip && ! src net 192.168.10	IP Pakete die aber nicht aus dem Netz 192.168.10.xx kommen
port sip or udp	VoIP Capture Filter
http:.request.method == "POST"	HTTP Auth Packete ausfiltern

Paket mit der Authentifizierung markieren, Menü | Analyze | Follow TCP Stream

http.authbasic
http.authorization

 

DisplayFilter

Operator	Beschreibung
eq oder ==	gleich
not oder !	nicht
ne oder !=	nicht gleich
gt oder >	größer als
lt oder <	kleiner als
ge oder >=	größer gleich
le oder <=	kleiner gleich
Filter	Erklärung
IP-Host Filter
ip.addr==192.168.0.1	nur Pakete zun oder zur angegebenen IP-Adresse anzeigen
ip.host == 192.168.0.1	nur Pakete zun oder zur angegebenen IP-Adresse anzeigen
ip.src == 192.168.0.10	nur Pakete mit der Quelladresse 192.168.0.10
ip.dst == 192.168.0.10	nur Pakete mit der Zieladresse 192.168.0.10
not (ip.dst == 192.168.0.10) and not (ip.src == 192.168.0.20)	nicht die Ziel-IP 192.168.0.10 und nicht die Quell-IP 192.168.0.20
!(ip.dst == 192.168.0.10) && !(ip.src == 192.168.0.20)	das gleiche in Kurzform
Protokoll Filter
dns	nur DNS Pakete
arp	ARP-Pakete
icmp	Internet Control Message Protocol Pakete
sip	nur SIP Pakete (Verbindungsaufbau, Abbau, Status)
sip || sdp || rtp	alles was zu VOIP gehört
http
tcp.analysis.lost_segment	zeigt Paketverlust an
sip.Request-Line contains "INVITE"	nur SIP INVITE ausgeben
sip.Status-Line contains "Unauthorized"	SIP Status Code 401 Unauthorized
icmpv6 || dhcpv6	ICMPv6 oder DHCPv6 ausgeben
icmpv6.type == 134	nur Router Advertisement ausgeben
Port Filter
udp.port == 53	auf DNS Anfragen filtern
tcp.port == 80 || upd.port == 80	Port 80 TCP oder UDP

 

VoIP Analyse

im Wireshark Menü unter Analyse | Protokolle aktivieren... im Suchfeld RTP (Real-Time Transport Protocol) eingeben und rtp_stun (RTP over TURN) und rtp_upd (RTP over UDP) aktivieren.

Menü | Telefonie | VoIP Anrufe
oder
Menü | Telefonie | SIP Flows

Anruf markieren dann auf "Filter vorbereiten" wenn das durchgelaufen ist, Flow Sequenzen wählen.

Menü | Telefonie | RTP | RTP Streams

Display Filter: rtp.p_type
RTP Paket markieren, Menü | Telefonie | RTP | Stream Analyse | Stream abspielen

Display Filter

sip || sdp || rtp
sip.Request-Line contains "INVITE"
sip.Status-Line contains "Unauthorized"

 

sonstiges

Wireshark sniffing ohne root Rechte

setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
getcap /usr/bin/dumpcap

Debian/Ubuntu: Wireshark für alle Benutzer freigeben

Wireshark so konfigurieren, das alle Benutzer es ausführen können, den User in die Gruppe wireshark aufnehmen

sudo dpkg-reconfigure wireshark-common
gpasswd -a <User> wireshark

Danach den Rechner neustarten.

 

WinPCAP

Absturz beim Herunterfahren von Win8.1 mit WinPCAP Version 4.1.3

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\npf]
"Start"=dword:00000003

danach den Rechner neu starten.

Die Anwendung z.B. WireShark oder Nmap danach als Administrator starten.