Wireshark 101
  • Introduction
  • Intro
    • Wireshark 101
  • Wat is Wireshark?
    • Wireshark
    • Wireshark voor de eerste keer opstarten
    • Visueel overzicht van een capteersessie
  • Alles klaarzetten voor een capture
    • Wireshark profielen
    • Capture options
  • De eerste captures
    • De eerste capture analyseren
    • Display Filters
    • Onze tweede capture
  • Leuke opties in Wireshark
    • Voip conversatie herbeluisteren
    • Een capture bewaren
    • Websites uit captures exporteren
    • Filters als knoppen
    • Ftp file transfer onderscheppen
  • Bronnen
    • Bronnen
Powered by GitBook
On this page
  • Capture Input
  • Capture Output
  • Capture Options

Was this helpful?

  1. Alles klaarzetten voor een capture

Capture options

PreviousWireshark profielenNextDe eerste capture analyseren

Last updated 5 years ago

Was this helpful?

Capture options gaat over de manier waarop we zaken gaan capteren. Belangrijk om weten: deze opties blijven actief zolang Wireshark open blijft. Dit vergeten kan wel leiden tot enkele frustrerende momenten.

Capture Input

Via CTRL + K of via capture en vervolgens options menu komen we in de volgende schermen terecht. Naast het selecteren van onze netwerkkaart, kunnen we hier ook al selecteren welke packets we willen filteren. Dit is niet hetzelfde als de display filter (komt later aan bod). Deze filter zorgt er immers voor dat enkel bepaalde packets daadwerkelijk gecapteerd worden. De display filter _is een filter voor reeds gecapteerde _packets.

Door op het groene icoontje te klikken, kan je een aantal prefab filters aanspreken of er zelf nieuwe toevoegen. Je kan ook gewoon meteen je eigen filter typen op de Enter a capture filter balk.

Door op voorhand te filteren kan je reeds ongewenste trafiek eruithalen en je capture file kleiner houden. Merk op: je kan zowel positief als negatief filteren. Dus je kan ervoor kiezen om:

  • Te specifiëren welke data je capteert

  • Te specifiëren welke data je niet capteert

Capture Output

Moeilijke troubleshooting situaties zijn die waarbij een probleem slechts sporadisch optreed. Je zou wireshark gewoon kunnen laten draaien, maar dan wordt de capture file enorm groot en eventueel zelfs zo groot dat de harde schijf vol zit en de pc crashed. Daarom kan je kiezen om een maximum grootte in te stellen op een bestand of een maximum tijdsduur dat er moet gecapteerd worden.

Dankzij de Ring Buffer kan je ook kiezen om de bestanden op te splitsen nadat ze hun tijdsduur of grootte hebben bereikt en deze zelfs laten roteren, zodat je altijd de meest recente data hebt.

In dit voorbeeld heb ik een ring buffer van 5 gekozen en elke 30 seconden een nieuw bestand laten creëeren.

Dit is het resultaat. Merk op dat de bestandsnamen ook aanduiden op welk tijdstip ze zijn aangemaakt.

Capture Options

Hier zien we een aantal opties terug zoals het resolven van Mac adres en om de capture automatisch af te sluiten na een bepaalde tijdsduur.

Opmerking:Zet gerust reeds .cap als extentie, Wireshark zal netjes de bestandsnamen aanpassen en de .cap extentie behouden.