Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Tools

 
Filter mit Wireshark

geschrieben am 05.03.2007 um 13:53 von alex_4783

Hallo Leute!

Hab hier ein kleines Problem. Kenn mich mit wireshark noch nicht ganz aus. Möchte Informationen nach einer MAC-Adresse filtern.
kann mir jemand von euch sagen wie??


Grüße!
 

geschrieben am 05.03.2007 um 16:09 von bewa

Re: Filter mit Wireshark

Moin.

"alex_4783" wrote:
Möchte Informationen nach einer MAC-Adresse filtern.
kann mir jemand von euch sagen wie??


Capture-Filter oder Display-Filter? Ersteres "wirkt" während der "Aufnahme", letzeres dient dazu in der Menge mitgeschnittener Daten das gesuchte zu finden.

Ich vermute mal, du meinst Display-Filter. Für die gibt es eigene Werkzeuge, mit denen man fast beliebig filtern kann, aber dir dürften schon einfach Varianten reichen:

Möglichkeit 1: Du klickst in die Filter-Zeile unter der Symbolleiste auf "Expression" (oder wie auch immer das in deutsch heissen mag, habe nur die englische Version hier). Dann öffnet sich ein Auswahl-Feld. Dort scrollst du in der linken Box runter bis zu "Ethernet" und wählst dann eth.dst, eth.src oder eth.addr je nachdem ob dich die Adresse als Absender, Empfänger oder in beiden Fällen interessiert. In der mittleren Box wählst du "==" und oben rechts gibst du dann die MAC-Adresse ein, jeweils nach zwei Stellen getrennt durch einen Doppelpunkt. Dann auf Ok und Ethereal sollte den Filter anwenden der jetzt auch in der Filter-Zeile steht. Evtl. musst duh noch kurz auf "Anwenden" klicken. Wenn du ihn wieder entfernen willst um alles zu sehen, klickst du auf "Leeren".


Möglichkeit 2: Wenn dir bekannt ist, wie die Syntax lautet und nach was du suchst, kannst du auch direkt eintippen. Also einfach in der Filter-Textfeld "eth.addr == XX:XX:XX:XX:XX:XX" eingeben, OHNE die Anführungszeichen und dann auf "Anwenden" klicken. Funktioniert genauso, da Möglichkeit 1 einfach nur diesen Text für dich ausfüllt.

Es gibt noch zig Möglichkeiten, unter anderem "Apply as Filter" bzw. "Als Filter anwenden" über das Kontext-Menü mit der rechten Maustaste, wenn man auf eine Ethernet-Adresse klickt. Einfach mal ein bischen damit rumspielen.
 

geschrieben am 05.03.2007 um 17:39 von alex_4783

Vielen Dank!

Hat wunderbar geklappt!
 

geschrieben am 06.03.2007 um 10:18 von alex_4783

Hab da noch ein Problem! Möchte folgende Protokolle filtern:

"Source" "Destination" "Protocol" "Info"
"Siemens_97:81:55" "Beckhoff_01:7d:a9" "PNIO" "RTC1

Als Filter habe ich unter expressions pn_io.iocr_properties.rtclass und dann die RT_CLASS_1 gewählt. Müßte doch eigentlich funtionieren, oder??

Kann mir vielleicht jemand sagen an was es liegt, dass es nicht geht??
Oder nen Tipp geben wie es richtig geht??
 

geschrieben am 06.03.2007 um 10:21 von HBuchek

...und als Capture-Filter:

Wenn Du gleich einen Capture-Filter einsetzt, wird der loakle Speicher bzw. die Protokolldatei, in die Du sniffst, entsprechend wenig beladen.

Die Syntax im Capture-Filter lautet:

Code:
ether host 00:11:22:aa:bb:cc
,

wenn Du alles
mitlauschen möchtest, also Incoming und outgoing. Möchtest Du nur Traffic haben, der von dieser MAC-Adresse gesendet wurde, dann sieht der Filter so aus:

Code:
ether src 00:11:22:aa:bb:cc
,

für Traffic, der an diese Adresse geschickt wurde, sieht's so aus:

Code:
ether dst 00:11:22:aa:bb:cc
.

dst = destination
src = source[/b]
 

geschrieben am 08.03.2007 um 11:46 von alex_4783

Danke für die Antwort!
Soweit ist mir die ganze Sache jetzt klar. Hab mich nur gefragt warum es nicht direkt mit der Eingabe des oben genannten Filters geht!?
 

geschrieben am 14.07.2007 um 17:35 von kritzel

hallo!

ich habe ein ähnliches problem, es geht ums filtern ;)

wollte nicht extra ein neues thema eröffnen.

ich habe 3 router und möchte den traffic aller 3 aufzeichnen, in 10 mb große dateien packen und diese dann speichern.

das geht auch alles wunderbar mit den dateien usw. aber bei dem filter habe ich probleme!

syntax:

ip.addr == 172.16.0.12 - funktioniert
ip.addr == 172.16.0.12 172.16.0.13 - funktiniert auch noch
ip.addr == 172.16.0.12 172.16.0.13 172.16.0.51 - funktioniert nicht

ist das überhaupt so richtig? das sind unmengen an daten die schon allein bei einer ip angezeigt werden! wie kann ich 3 IP gleichzeitig aufzeichnen?

danke schonmal!


edit: gibt es irgendwo eine gute erklärung zu den filtern!? ich bin um die ganze welt gegoogelt nix gibts...immer nur kurz erklärungen... :/
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 13.05.2019