Wireshark instelling

Arco

Special Member

Kun je bij Wireshark ook filteren op een bepaald source of destination adres?
(dat zou wat makkelijker zijn dan alles te loggen, da's ontmoedigend veel... ;) )

Arco - "Simplicity is a prerequisite for reliability" - hard-, firm-, en software ontwikkeling: www.arcovox.com
bprosman

Golden Member

De jongere generatie loopt veel te vaak zijn PIC achterna.

Jep, dat wil je waarschijnlijk vooraf de rest wordt dan niet opgeslagen.

Options > Capture > Capture filter

host 192.168.0.2

Arco

Special Member

Dank, dat scheelt... ;)
Kun je ook 'normale' tijdmelding bij een entry krijgen? Nu staat er bijv: '3349.943110', niet erg handig om aan een tijdstip te relateren...

Arco - "Simplicity is a prerequisite for reliability" - hard-, firm-, en software ontwikkeling: www.arcovox.com
Frederick E. Terman

Honourable Member

View -> Time Display Format -> Time of Day
(of iets dergelijks, afhankelijk van versie)

Keramisch, kalibratie, parasitair: woordenlijst.org

Je kan gewoon in de filterbar de filtersyntax gebruiken:

<protocol>.src == <adres>
of <protocol>.dst == <adres>

Voorbeeld: "ip.dst == 192.168.0.1"

Wat je ook kan doen is in de dump op een veld rechterklikken --> Apply as Filter --> selected. Dit stelt dan het veld in als een filter.

ik gebruik altijd rechtermuis -> follow TCP/UDP stream.

selecteer HEX in het venster wat verschijnt, en je hebt de hele conversatie.

tenzij je een meerdere clients monitort, kun je zo vrij eenvoudig een protocol inzien.

GMT+1

Op 18 februari 2020 19:29:20 schreef Opifex:
Je kan gewoon in de filterbar de filtersyntax gebruiken:

<protocol>.src == <adres>
of <protocol>.dst == <adres>

Voorbeeld: "ip.dst == 192.168.0.1"

Wat je ook kan doen is in de dump op een veld rechterklikken --> Apply as Filter --> selected. Dit stelt dan het veld in als een filter.

Ja dat is het view filter. Voor korte captures werkt dat ook. Als je lang bezig bent kan je het beter in de capture filter zetten en die heeft een andere syntaxis.

Met (display)filter vs capture filter is het belangrijkste: Ben je voor 99% loze packets aan het vangen die je niet interessant vind.

Stel je hebt een IOT ding en je wilt kijken of dat ding veel met het internet babbelt. Dan kan je filteren op dat IP adres en gewoon "je ding doen". Ook als je dan effe een nieuw raspbian image download met je desktop krijg je dan een capture met alleen dat IOT ding. Zou je alles capturen en daarna pas filteren dan kan de boel langzaam worden omdat je enorm veel meer gevangen hebt dan wat je nodig hebt.

four NANDS do make a NOR . Kijk ook eens in onze shop: http://www.bitwizard.nl/shop/
Arco

Special Member

Nog een vraagje:

Bij het meest rechtse 'info' veld hangt de data meestal ver buiten het beeld, en toch heeft het scherm geen horizontale scroll...
Hoe krijg je wat buiten het scherm 'hangt' te zien?

Arco - "Simplicity is a prerequisite for reliability" - hard-, firm-, en software ontwikkeling: www.arcovox.com

Via de Resize Column optie? (rechtermuisklik op de titel van de info kolom)

Of een kolom toevoegen rechts van de info kolom, dan kun je (beter) bij het eind van de info kolom en kun je de breedte makkelijk naar wens aanpassen.

A little knowledge is a dangerous thing.
Arco

Special Member

Bedankt,

Een eenvoudige scrollbar was handiger geweest...

Wireshark schijnt ook geen decoder voor Base64 data te hebben.
Veel SMTP messages zijn in Base64 en die worden decimaal in C style afgebeeld (met vreemde icons ertussendoor...)

Niet echt makkelijk om daar wat zinnigs in te zien...

Arco - "Simplicity is a prerequisite for reliability" - hard-, firm-, en software ontwikkeling: www.arcovox.com
joopv

Golden Member

Gelukkig maar, want het is SMTPS - secure smtp. Met starttls worden de security onderhandelingen gestart (tls = transport level security)

Misschien heb je hier wat aan:
https://stackoverflow.com/questions/27030605/smtp-starttls-certificate…

[Bericht gewijzigd door joopv op donderdag 14 mei 2020 17:20:13 (70%)