Wireshark ist ein professioneller, kostenloser Netzwerkscanner. Siehe auch [[tcpdump]] oder [[tshark]]. =====Display Filter===== // Nur SMTP (port 25) and ICMP anzeigen: tcp.port eq 25 or icmp // Nur traffic im LAN (192.168.x.x) zwischen Workstations und Servern: ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16 // Voller TCP buffer - Die Quelle fordert das Ziel auf keine Daten mehr zu senden tcp.window_size == 0 && tcp.flags.reset != 1 // Filter für Windows Active Directory Traffic smb || nbns || dcerpc || nbss || dns // Sasser worm: ls_ads.opnum==0x09 // Mit contains kann man nach bestimmten Bytefolgen in einem Paket suchen. Muss in Hex angegeben werden. udp contains 81:60:03 // Filtere Pakete mit einer 3-byte sequenz 0x81, 0x60, 0x03 am Anfang des UDP payload, der 8-byte UDP header wird ausgelassen. udp[8:3]==81:60:03 // Oder den Vendor Teil von Mac Addressen eth.addr[0:3]==00:06:5B // Pakete mit einem SIP To-header der den String "a1762" beinhaltet: sip.To contains "a1762" // Der ~ Operator ermöglicht die Suche nach Text in Zeichenfolgenfeldern und Bytesequenzen mithilfe eines regulären Ausdrucks unter Verwendung der Perl-Syntax für reguläre Ausdrücke. Wireshark muss mit libpcre erstellt werden, um den Übereinstimmungsoperator verwenden zu können. // HTTP requests wo am Ende der URI steht "gl=se". http.request.uri matches "gl=se$" // Filter SIP Pakete aber schliesse bestimmte IPs aus dem Ergebnis aus ip.src != xxx.xxx.xxx.xxx && ip.dst != xxx.xxx.xxx.xxx && sip // Mit Wireshark 4.0+ können Sie ein bestimmtes Auftreten eines Felds auswählen. Um den Ebenenoperator zu verwenden, setzen Sie einfach ein Nummernzeichen und eine Ebenennummer nach einem Feld. Wenn wir beispielsweise ein GRE-Paket mit äußeren und inneren IPv4-Schichten haben, ip.src#1 == 10.1.2.3 wird mit der äußeren Adresse übereinstimmen, ip.src#2 == 10.1.2.3 stimmt mit der inneren Adresse überein, und ip.src == 10.1.2.3 stimmt mit beiden Adressen überein. =====Links===== * [[https://www.wireshark.org/docs/wsug_html_chunked/ChCustCommandLine.html|Wireshark CLI manpage explained]]