Alle Informationen, die im Spickzettel enthalten sind, werden auch weiter unten auf dieser Seite in einem Format angezeigt, das sich leicht kopieren und einfügen lässt.
Der Spickzettel umfasst:
-
- Wireshark-Aufnahmemodi
- Filtertypen
- Capture-Filtersyntax
- Filtersyntax anzeigen
- Protokolle – Werte
- Pakete filtern (Filter anzeigen)
- Logische Operatoren
- Standardspalten in einer Paketerfassungsausgabe
- Verschiedene Artikel
- Tastatürkürzel
- Allgemeine Filterbefehle
- Hauptelemente der Symbolleiste
Betrachte oder lade das Cheat Sheet JPG-Bild herunter
Klicken Sie mit der rechten Maustaste auf das Bild unten, um die JPG-Datei zu speichern (2500 Breite x 2096 Höhe in Pixel), oder klicken Sie hier, um sie in einem neuen Browser-Tab zu öffnen. Sobald das Bild in einem neuen Fenster geöffnet wurde, müssen Sie möglicherweise auf das Bild klicken, um es zu vergrößern und das JPEG in voller Größe anzuzeigen.
Betrachte oder lade das Cheat Sheet JPG-Bild herunter
Klicken Sie auf den Link, um das Cheat Sheet PDF herunterzuladen. Wenn es in einem neuen Browser-Tab geöffnet wird, klicken Sie einfach mit der rechten Maustaste auf die PDF-Datei und navigieren Sie zur Download-Auswahl.
Was ist im Spickzettel enthalten??
Die folgenden Kategorien und Gegenstände wurden in den Spickzettel aufgenommen:
Wireshark-Aufnahmemodi
| Promiscuous-Modus | Legt die Schnittstelle so fest, dass alle Pakete in einem Netzwerksegment erfasst werden, mit dem es verknüpft ist |
| Überwachungsmodus | Richten Sie die drahtlose Schnittstelle so ein, dass der gesamte empfangbare Datenverkehr erfasst wird (nur Unix / Linux). |
Filtertypen
| Capture-Filter | Pakete während der Erfassung filtern |
| Filter anzeigen | Pakete vor einer Erfassungsanzeige verbergen |
Capture-Filtersyntax
| Syntax | Protokoll | Richtung | Gastgeber | Wert | Logischer Operator | Ausdrücke |
| Beispiel | tcp | src | 192.168.1.1 | 80 | und | tcp dst 202.164.30.1 |
Filtersyntax anzeigen
| Syntax | Protokoll | Zeichenfolge 1 | String 2 | Vergleichsoperator | Wert | logischer Operator | Ausdrücke |
| Beispiel | http | dest | ip | == | 192.168.1.1 | und | TCP-Port |
Protokolle – Werte
| äther, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp und udp |
Pakete filtern (Filter anzeigen)
| Operator | Beschreibung | Beispiel |
| Gl. oder == | Gleich | ip.dest == 192.168.1.1 |
| ne oder! = | Nicht gleich | ip.dest! = 192.168.1.1 |
| gt oder > | Größer als | frame.len > 10 |
| lt oder < | Weniger als | frame.len <10 |
| ge oder >= | Größer als oder gleich | frame.len >= 10 |
| le oder <= | Weniger als oder gleich | frame.len<= 10 |
Verschiedene Artikel
| Slice-Operator | […] – Wertebereich |
| Mitgliedsbetreiber | {} – Im |
| STRG + E – | Aufnahme starten / stoppen |
Logische Operatoren
| Operator | Beschreibung | Beispiel |
| und oder && | Logisches UND | Alle Bedingungen sollten übereinstimmen |
| oder oder || | Logisches ODER | Entweder alle oder eine der Bedingungen sollte übereinstimmen |
| xor oder ^^ | Logisches XOR | exklusive Abwechslung – Nur eine der beiden Bedingungen sollte nicht beiden entsprechen |
| nicht oder ! | NICHT (Negation) | Nicht gleichzusetzen mit |
| [n] […] | Teilstring-Operator | Filtern Sie ein bestimmtes Wort oder einen bestimmten Text |
Standardspalten in einer Paketerfassungsausgabe
| Nein. | Bildnummer ab dem Beginn der Paketerfassung |
| Zeit | Sekunden ab dem ersten Bild |
| Quelle (src) | Quelladresse, üblicherweise eine IPv4-, IPv6- oder Ethernet-Adresse |
| Ziel (dst) | Zieladresse |
| Protokoll | Protokoll, das im Ethernet-Frame, IP-Paket oder TCP-Segment verwendet wird |
| Länge | Länge des Frames in Bytes |
Tastatürkürzel
| Beschleuniger | Beschreibung | Beschleuniger | Beschreibung |
| Tab oder Umschalt + Tab | Bewegen zwischen Bildschirmelementen, z. Von den Symbolleisten über die Paketliste bis zum Paketdetail. | Alt+→ oder Option+→ | Zum nächsten Paket in der Auswahlhistorie wechseln. |
| ↓ | Zum nächsten Paket oder Detailelement wechseln. | → | Öffnet im Paketdetail das ausgewählte Baumelement. |
| ↑ | Zum vorherigen Paket oder Detailelement wechseln. | Verschiebung+→ | Öffnet im Paketdetail das ausgewählte Baumelement und alle seine Unterbäume. |
| Strg+ ↓ oder F8 | Wechseln Sie zum nächsten Paket, auch wenn die Paketliste nicht fokussiert ist. | Strg+→ | Öffnet im Paketdetail alle Baumelemente. |
| Strg+ ↑ oder F7 | Zum vorherigen Paket wechseln, auch wenn die Paketliste nicht fokussiert ist. | Strg+← | Schließt im Paketdetail alle Baumelemente. |
| Strg+. | Zum nächsten Gesprächspaket wechseln (TCP, UDP oder IP). | Rücktaste | Springt im Paketdetail zum übergeordneten Knoten. |
| Strg+, | Zum vorherigen Gesprächspaket wechseln (TCP, UDP oder IP). | Return oder Enter | Schaltet im Paketdetail das ausgewählte Baumelement um. |
Allgemeine Filterbefehle
| Verwendung | Filtersyntax |
| Wireshark Filter nach IP | ip.addr == 10.10.50.1 |
| Filtern nach Ziel-IP | ip.dest == 10.10.50.1 |
| Filtern nach Quell-IP | ip.src == 10.10.50.1 |
| Nach IP-Bereich filtern | ip.addr >= 10.10.50.1 und ip.addr <= 10.10.50.100 |
| Filtern nach mehreren Ips | ip.addr == 10.10.50.1 und ip.addr == 10.10.50.100 |
| IP-Adresse herausfiltern | !(ip.addr == 10.10.50.1) |
| Subnetz filtern | ip.addr == 10.10.50.1/24 |
| Nach Hafen filtern | tcp.port == 25 |
| Filtern nach Zielport | tcp.dstport == 23 |
| Filtern nach IP-Adresse und Port | ip.addr == 10.10.50.1 und Tcp.port == 25 |
| Filtern nach URL | http.host == “Hostname” |
| Nach Zeitstempel filtern | frame.time >= “2. Juni 2023, 18:04:00” |
| SYN-Flag filtern | tcp.flags.syn == 1 |
| tcp.flags.syn == 1 und tcp.flags.ack == 0 | |
| Wireshark Beacon Filter | wlan.fc.type_subtype = 0x08 |
| Wireshark Broadcast Filter | eth.dst == ff: ff: ff: ff: ff: ff |
| WiresharkMulticast-Filter | (eth.dst [0] & 1) |
| Hostnamenfilter | ip.host = Hostname |
| MAC-Adressfilter | eth.addr == 00: 70: f4: 23: 18: c4 |
| RST-Flag-Filter | tcp.flags.reset == 1 |
Hauptelemente der Symbolleiste
| Symbol in der Symbolleiste | Symbolleistenelement | Menüpunkt | Beschreibung |
 | Start | Aufnahme → Start | Verwendet die gleichen Optionen für die Paketerfassung wie in der vorherigen Sitzung oder verwendet die Standardeinstellungen, wenn keine Optionen festgelegt wurden |
 | Halt | Capture → Stop | Stoppt die derzeit aktive Erfassung |
 | Neustart | Aufnahme → Neustart | Startet die aktive Erfassungssitzung neu |
 | Optionen… | Aufnahme → Optionen… | Öffnet das Dialogfeld “Aufnahmeoptionen” |
 | Öffnen… | Datei → Öffnen… | Öffnet "Datei öffnen" Dialogfeld zum Laden eines Captures zum Anzeigen |
 | Speichern als… | Datei → Speichern unter… | Aktuelle Aufnahmedatei speichern |
 | Schließen | Datei → Schließen | Aktuelle Erfassungsdatei schließen |
 | Neu laden | Ansicht → Neu laden | Lädt die aktuelle Erfassungsdatei neu |
 | Paket suchen… | Bearbeiten → Paket suchen… | Paket anhand verschiedener Kriterien suchen |
 | Geh zurück | Gehe → Gehe zurück | Springe zurück in den Paketverlauf |
 | Vorwärts gehen | Gehe zu → Gehe vorwärts | Sprung vorwärts im Paketverlauf |
 | Gehe zu Paket… | Gehe zu → Gehe zu Paket… | Gehe zu einem bestimmten Paket |
 | Gehe zum ersten Paket | Gehe zu → Erstes Paket | Zum ersten Paket der Erfassungsdatei springen |
 | Gehe zum letzten Paket | Gehe zu → Letztes Paket | Zum letzten Paket der Erfassungsdatei springen |
 | Automatischer Bildlauf in Live Capture | Ansicht → Automatischer Bildlauf in Live Capture | Automatische Paketliste während der Live-Erfassung |
 | Kolorieren | Ansicht → Kolorieren | Packliste einfärben (oder nicht) |
 | Hineinzoomen | Ansicht → Vergrößern | In die Paketdaten zoomen (Schrift vergrößern) |
 | Rauszoomen | Ansicht → Verkleinern | Verkleinern der Paketdaten (Schriftgröße verringern) |
 | Normale Größe | Ansicht → Normale Größe | Zoomstufe auf 100% zurücksetzen |
 | Spaltengröße ändern | Ansicht → Spaltengröße ändern | Ändern Sie die Spaltengröße, damit der Inhalt an die Breite angepasst wird |
einer Paketerfassungsausgabe Standardspalten in einer Paketerfassungsausgabe Zeit Quelle Ziel Protokoll Länge Info Tastatürkürzel Tastatürkürzel STRG + F Filtern STRG + E Aufnahme starten / stoppen STRG + Shift + F Filterleiste ein- / ausblenden STRG + Shift + L Paketliste ein- / ausblenden STRG + Shift + T Paketdetails ein- / ausblenden Allgemeine Filterbefehle Allgemeine Filterbefehle Operator Beschreibung Beispiel ip.addr IP-Adresse ip.addr == 192.168.1.1 tcp.port TCP-Port tcp.port == 80 udp.port UDP-Port udp.port == 53 http HTTP-Protokoll http.request.method == GET Hauptelemente der Symbolleiste Hauptelemente der Symbolleiste Aufnahme starten / stoppen Filtern Filterleiste ein- / ausblenden Paketliste ein- / ausblenden Paketdetails ein- / ausblenden Statistik IO-Graph Flow-Graph Sequenzdiagramm Follow TCP Stream Datei öffnen Datei speichern Drucken Beenden Der Spickzettel ist eine nützliche Ressource für alle, die mit Wireshark arbeiten. Es enthält alle wichtigen Informationen zu Wireshark-Aufnahmemodi, Filtertypen, Capture-Filtersyntax, Protokollen, Paketfiltern, logischen Operatoren, Tastatürkürzeln und den Hauptelementen der Symbolleiste. Die Möglichkeit, das Cheat Sheet in verschiedenen Formaten herunterzuladen, macht es noch praktischer.