Workshop: Sniffing mit Wireshark

Filtern nach Kriterien

Wenn Sie den Datenverkehr nicht filtern, erhalten Sie auch alle Management-Pakete wie ARP-Requests, STP-Nachrichten oder Ähnliches. Diese Informationen sind nur relevant, wenn Sie ARP-Poisoning oder einen Fehler beim Spanning Tree Protocol vermuten. Um diese Pakete und IP-Broadcasts auszufiltern, reicht ein Capture-Filter, der als Quell- oder als Ziel-IP nur die eigene IP-Adresse erlaubt. Rufen Sie also einfach den Dialog „Capture / Options“ wieder auf und tragen Sie im Feld neben dem Button Capture-Filter Folgendes ein:

host <IP-Adresse>

Ersetzen Sie dabei <IP-Adresse> durch die IP der Netzwerkkarte, mit der Sie den Datenverkehr protokollieren wollen. Bei bestimmten Verdachtsmomenten hinsichtlich verwendeter Ports lassen sich die Filter weiter eingrenzen, um das Datenaufkommen in Grenzen zu halten. So würde beispielsweise die folgende Zeile nur Pakete von oder an die eigene Station selektieren, die http-Traffic enthalten:

host <IP-Adresse> and tcp port 80

Wie bereits erwähnt, lassen sich entsprechende Pakete aber auch später noch in der Anzeige selektieren.