Nützliche Filter:

nur Pakete einer bestimmten IP-Adresse zeigen (egal ob Sender oder Empfänger):

ip.addr == 192.168.1.1

nur Pakete an einen bestimmten Empfänger zeigen:

ip.dst == 192.168.1.1

nur Pakete von einem bestimmten Absender zeigen:

ip.src == 192.168.1.1

nur HTTP-Anfragen zeigen:

http.request

nur verschlüsselte Verbindungen zeigen:

ssl

nur DNS-Kommunikation anzeigen:

dns

Zeige LLMNR/NBT-NS-Abfragen:

udp.port == 5355 || nbns

DHCP-Verkehr anzeigen:

bootp.option.type == 53

ODER

udp.port == 68

nur Pakete zeigen, die eine bestimmte Zeichenfolge enthalten

tcp matches "(?i)SUCHBEGRIFF"

(durch “?i” wird Groß-/Kleinschreibung ignoriert)

Paket ausblenden, die wiederholt übertragen wurden:

not tcp.analysis.retransmission

Mehrere Filter kombinieren:

http.request && not ip.addr == 192.168.1.1

Wer redet mit wem? (Konversationen aufzeigen):

  • Statistics > Conversations

“Unterhaltungen” zwischen Client und Server folgen:

  • Rechte Maustaste > Follow TCP Stream

“Top-Talker” (Endpunkte mit höchstem Netzwerkverbrauch) herausfinden und grafisch darstellen :

  • Statistics > Conversations
  • Auf “IPv4” klicken und absteigend nach der Spalte “Bytes” sortieren
  • Rechtsklick auf den obersten Eintrag –> Prepare a Filter –> Selected –> A <-> B
  • Den Filter in die Zwischenablage kopieren
  • Statistics –> I/O Graph
  • In der unteren Zeile ggf. einen weiteren Graphen einfügen und den Inhalt der Zwischenablage bei “Display filter” einfügen

IP-Adressen in Hostnamen auflösen:

  • View –> Name Resolution –> Enable for Network Layer
  • View –> Name Resolution –> Resolve Hostname

Capture Filter – Beispiele:

Nur Pakete aus einem bestimmten Netzwerkbereich aufzeichnen:

net 192.168.0.0/24