Wireshark 101
  • Introduction
  • Intro
    • Wireshark 101
  • Wat is Wireshark?
    • Wireshark
    • Wireshark voor de eerste keer opstarten
    • Visueel overzicht van een capteersessie
  • Alles klaarzetten voor een capture
    • Wireshark profielen
    • Capture options
  • De eerste captures
    • De eerste capture analyseren
    • Display Filters
    • Onze tweede capture
  • Leuke opties in Wireshark
    • Voip conversatie herbeluisteren
    • Een capture bewaren
    • Websites uit captures exporteren
    • Filters als knoppen
    • Ftp file transfer onderscheppen
  • Bronnen
    • Bronnen
Powered by GitBook
On this page
  • Operators
  • In de praktijk: not so smooth operator
  • Contains

Was this helpful?

  1. De eerste captures

Display Filters

PreviousDe eerste capture analyserenNextOnze tweede capture

Last updated 5 years ago

Was this helpful?

Zoals uit de eerste capture misschien al gebleken is, gaan display filters een groot deel van het werk uitmaken om ruis weg te filteren, we willen immers met nuttige data overblijven. Hieronder bekijken we hoe display filters kunnen opgemaakt worden.

Operators

Operators laten ons toe om verschillende display filters aan elkaar te koppelen. Zo kunnen we een redelijk uitgebreide filter maken en zodoende enkel zien wat we willen zien.

English

C-like

Description and example

eq

==

Equal. ip.src==10.0.0.5

ne

!=

Not equal. ip.src!=10.0.0.5

gt

>

Greater than. frame.len > 10

lt

<

Less than. frame.len < 128

ge

>=

Greater than or equal to. frame.len ge 0x100

le

<=

Less than or equal to. frame.len <= 0x20

contains

Protocol, field or slice contains a value. sip.To contains "a1762"

matches

~

Protocol or text field match Perl regualar expression. http.host matches "acme.(org|com|net)"

bitwise_and

&

Compare bit field value. tcp.flags & 0x02

De oorspronkelijke lijst kan je hier terugvinden:

In de praktijk: not so smooth operator

Laten we even zien hoe zo'n filter in de praktijk werkt. Samen met de obligatoire valstrik. Mijn eerste filter zegt: "Ik wil geen arp pakketten zien."

Gevolg: 2 pakketten worden niet getoond. Wat juist is (geloof me nu maar).

Je 2de filter zegt: "Ik wil geen arp of geen ssl pakketten zien."

Wacht, alle pakketten worden getoond?

Vreemd, wat als we zeggen "ik wil arp of ssl pakketten zien."

Dat zijn er 1416. Dat lijkt normaal.

Eigenlijk was onze filter oorspronkelijk fout, door te zeggen "of geen arp of geen ssl" hebben we eigenlijk niet gefilterd, omdat dit aanzien wordt als 2 aparte statements, waardoor je toch alles ziet.

Om te bekomen wat we eigenlijk willen, moeten we de statement aldus schrijven:

En dit komt wel overeen met die 1416 pakketten. 9848 - 1416 = 8432

Misschien om het iets minder verwarrend te maken is het best om de and statement te gebruiken. "Ik wil geen arp pakketten zien en ik wil geen ssl pakketten zien."

Dat lijkt er al meer op.

Contains

Contains is een leuke. Bijvoorbeeld als je door een hele resem ftp-verbindingen een bepalde username wenst terug te vinden.

https://www.wireshark.org/docs/wsug_html_chunked/ChWorkBuildDisplayFilterSection.html