Wireshark is een op GUI gebaseerd netwerkpakketanalysator waarmee u pakketgegevens kunt inspecteren van zowel een live netwerk als van een eerder vastgelegd bestand. Hoewel het een zeer krachtig hulpmiddel is, is een veel voorkomend probleem waarmee newbies worden geconfronteerd, dat het zoveel gegevens weergeeft dat het voor hen echt moeilijk wordt om de daadwerkelijke informatie te vinden waarnaar ze op zoek zijn. Dit is waar Wireshark's weergavefilters helpen.

Opmerking - Als u Wireshark helemaal nieuw vindt, is het raadzaam eerst de basishandleiding door te nemen.

Filters weergeven

Hier is een voorbeeld van een live-opname in Wireshark:

Merk op dat een groot deel van de GUI wordt gebruikt om informatie weer te geven (zoals tijd, bron, bestemming en meer) over alle inkomende en uitgaande pakketten. Om deze informatie te filteren volgens uw vereisten, moet u gebruik maken van het filtervak ​​dat zich aan de bovenkant van het venster bevindt.

1. Filter informatie op basis van protocol

Om resultaten op basis van een specifiek protocol te filteren, hoeft u alleen de naam ervan in het filtervak ​​te schrijven en op enter te drukken. In de volgende schermopname wordt bijvoorbeeld informatie weergegeven met betrekking tot het HTTP-protocol:

Houd er rekening mee dat de kolom Protocol alleen HTTP-vermeldingen bevat. Als informatie met betrekking tot meer dan één protocol vereist is, voert u de protocolnamen in gescheiden door een dubbele leiding (of een logische OR-operator) || . Hier is een voorbeeld:

 http || arp || icmp

2. Filter informatie op basis van IP-adres

Als u resultaten op basis van bron-IP wilt filteren, gebruikt u het filter ip.src . Hier is een voorbeeld:

 ip.src == 50.116.24.50

Gebruik ook ip.dst om resultaten te filteren op basis van het IP-adres van de bestemming. Gebruik het filter ip.addr om zowel bron- als ip.addr met een bepaald IP- ip.addr . Hier is een voorbeeld:

 ip.addr == 50.116.24.50

Houd er rekening mee dat de pakketten met bron- of bestemmings-IP-adres als 50.116.24.50 in de uitvoer worden weergegeven.

Gebruik de operator != Om pakketten met een specifiek IP-adres uit te sluiten. Hier is een voorbeeld:

 ip.src! = 50.116.24.50

3. Filter informatie op basis van poort

U kunt ook het vastgelegde verkeer filteren op basis van netwerkpoorten. Als u bijvoorbeeld alleen die pakketten wilt weergeven die TCP-bron of doelpoort 80 bevatten, gebruikt u het filter tcp.port . Hier is een voorbeeld:

 tcp.port == 80

Op dezelfde manier kunt u tcp.srcport en tcp.dstport om afzonderlijk resultaten te filteren op basis van TCP-bron- en doelpoorten.

Wireshark heeft ook de mogelijkheid om resultaten te filteren op TCP-vlaggen. Als u bijvoorbeeld wilt weergeven op die TCP-pakketten die SYN-vlag bevatten, gebruikt u het tcp.flags.syn filter. Hier is een voorbeeld:

Op dezelfde manier kunt u ook resultaten filteren op basis van andere vlaggen zoals ACK, FIN en meer, met behulp van filters zoals tcp.flags.ack, tcp.flags.fin en meer.

4. Enkele andere handige filters

Wireshark toont de gegevens van een pakket (dat momenteel is geselecteerd) onderaan in het venster. Soms is het tijdens het debuggen van een probleem vereist om pakketten te filteren op basis van een bepaalde bytesequentie. Dat kunt u eenvoudig doen met Wireshark.

TCP-pakketten die de 00 00 01-bytesequentie bevatten, kunnen bijvoorbeeld op de volgende manier worden gefilterd:

 tcp bevat 00:00:01

Verderop, net zoals u resultaten op basis van IP-adressen kunt filteren (eerder uitgelegd), kunt u ook resultaten filteren op basis van MAC-adressen, met behulp van het filter eth.addr . Als u bijvoorbeeld al het verkeer in en uit een machine met een mac-adres wilt zien, bijvoorbeeld AA: BB: CC: DD: EE: FF, gebruikt u de volgende filteropdracht:

 eth.addr == AA: BB: CC: DD: EE: FF

Conclusie

We hebben hier nauwelijks de oppervlakte bekrast, want Wireshark heeft nog veel meer te bieden. Bezoek voor meer informatie over Wireshark-displayfilters de officiële website van Wireshark of de Wiki Wireshark-website. Als u twijfels of vragen heeft, laat dan hieronder een reactie achter.