Gewusst wie: aufgezeichnete Datenverkehr in Wireshark Filtern?

FAQ #100535

Prinzip
Wireshark bieten grundsätzlich zwei verschiedene Möglichkeiten zum Filtern von Ethernet-Verkehr:

• Capture-Filter:
  Während der Aufnahme Filterung basierend auf Quelle/Ziel-IP oder die TCP/UDP-Ports verwendet). Telegramme, die den Filter nicht übereinstimmen werden nicht in der Sammlungsdatei gespeichert! Weitere Informationen finden Sie unter FAQ 100224.
• Anzeigefilter:
  Filtern die Telegramme einer aufgenommenen Datei basierend auf die telegramminhalte (Befehlscode, Vorhandensein Werte etc.). Anzeigefilter hat keine Auswirkungen auf die erfassten Daten, es wird nur auswählen, welche Pakete der erfassten Daten auf dem Bildschirm angezeigt werden.

Display-Filter
Das Plugin für sezieren (Dolmetschen) Ether-S-Bus-Verkehr bietet eine breite Palette des Telegramms Eigenschaften und Filter Bedingungen. Hier eine kleine Auswahl der am häufigsten verwendeten Felder:

• Befehlscode
• Quelle-Ziel-S-Bus-Adresse
• BaseAddress übertragenen Medien
• Werte der übertragenen Medien
• etc....

Verwendung von Filter-strings
Die Filterzeichenfolgen in einer Sonderschau Filter Sprache geschrieben werden im Feld"Filter" eingegeben (grüne Region im Bild unten) von Wireshark:
§ix100349§
Durch Drücken der "Ausdrücke"-Taste, erscheint das folgende Fenster. In diesem Fenster können die verfügbaren Filterausdrücke und Bedingungen ausgewählt werden.
§ix100350§
Es ist auch möglich, mehrere Filter mithilfe der AND - und oder Operanden kombinieren:

• Und Operanden: & & (Beispiel: sbus.cmd == 0 x 6 & & sbus.destination == 1)
• Oder Operanden: || (Beispiel: ip.addr == 207.1.1.222 | SBus.Destination == 1)

Jedes Mal, wenn Sie ändern die Filterzeichenfolge und klicken Sie auf "Apply", alle Pakete Las aus dem Capture-Datei (oder aus dem Speicher), und durch den Anzeigefilter "Maschine" verarbeitet werden. Paket Paket, diese "Maschine" ist gefragt, wenn dieses besondere Paket sollen oder nicht angezeigt werden.