💡

Wireshark

Tipps & Tricks

Die versteckten Perlen

Was Sie heute lernen

Profiles - Maßgeschneiderte Arbeitsumgebungen
Drag & Drop Filter - Filter blitzschnell erstellen
Append/Prepend - Filter intelligent kombinieren
Follow Streams - Versteckte Tricks
Expert Info - Optimale Nutzung

👤

Profiles

Ihre persönlichen Arbeitsumgebungen

Was sind Profiles?

Profiles speichern Ihre komplette Wireshark-Konfiguration

Spalten-Layout
Farbregeln
Display-Filter Buttons
Einstellungen & Präferenzen
Sogar eigene Lua-Scripts!

Tipp: Rechts unten in der Statusleiste!

Profile für jeden Zweck

Profile Pro-Tipps

Default Profile

→

Kopieren

→

Anpassen

# Profile-Verzeichnis finden
~/.config/wireshark/profiles/    # Linux/Mac
%APPDATA%\Wireshark\profiles\    # Windows

# Profile teilen
zip -r security-profile.zip ~/.config/wireshark/profiles/Security/

Wichtig: Profile zwischen Wireshark-Versionen prüfen!

🎯

Drag & Drop Filter

Filter Assembly leicht gemacht

So funktioniert's

Paket-Details

IP: 192.168.1.50
Port: 443
Protocol: TLS

→

Display Filter

ip.addr == 192.168.1.50

Einfach ziehen! Von jedem Feld im Packet Details

🔗

Append & Prepend

Filter intelligent erweitern

Der Unterschied

Append "...or" ➜ Am Ende hinzufügen
tcp.port == 80 or dns

Prepend "...and" ➜ Am Anfang hinzufügen
ip.src == 10.0.0.1 and tcp.port == 80

Merkhilfe: Append = Am Ende | Prepend = davor (Pre)

Praktischer Workflow

Schritt für Schritt zum komplexen Filter:

Start: http

Append "...or": http or https

Prepend "...and": ip.addr == 192.168.1.0/24 and (http or https)

Ergebnis: ip.addr == 192.168.1.0/24 and (http or https)

🌊

Follow Streams

Versteckte Tricks

Follow Stream Power-Features

TCP/UDP/TLS/HTTP - Verschiedene Stream-Typen
Filter automatisch - Erstellt perfekten Display-Filter
Farbcodierung - Client (rot) vs Server (blau)
Save As - Raw-Daten extrahieren

Ctrl+Alt+Shift+T TCP Stream

Ctrl+Alt+Shift+U UDP Stream

Follow Stream Geheimtipps

# Stream als Python-Bytes speichern
File → Export → As "C Arrays"

# Automatischer Filter nach Stream
tcp.stream eq 42

# Alle Streams einer Konversation
Statistics → Conversations → TCP → Right-Click → Apply as Filter

Pro-Tipp: "Find" im Stream-Fenster unterstützt Regex!

🎓

Expert Info

Optimale Nutzung

Expert Info richtig nutzen

Severity Levels

🔴 Error - Kritisch
🟡 Warning - Beachten
🔵 Note - Information
💬 Chat - Protokoll-Details

Quick Filter

expert.severity == "error"

expert.group == "malformed"

expert.message contains "retransmission"

Expert Info anpassen

# In Lua-Dissector
tree:add_expert_info(PI_SEQUENCE, PI_WARN, "Packet out of order")

# Expert Info Spalte hinzufügen
Right-Click Column Header → Column Preferences → Add
Type: Custom
Field: expert.severity

# Farbregeln basierend auf Expert Info
View → Coloring Rules → New
Filter: expert.severity == "error"
Color: Red Background

Bonus: Expert Info in tshark: -z expert

Bonus: Wichtige Shortcuts

Ctrl+E Start/Stop Capture

Ctrl+K Capture Options

Ctrl+F Find Packet

Ctrl+G Go to Packet

Ctrl+M Mark Packet

Ctrl+Shift+M Next Mark

Ctrl+T Time Reference

Ctrl+Shift+T Clear Time Ref

Zusammenfassung

✅ Profiles für jeden Anwendungsfall
✅ Drag & Drop spart Zeit
✅ Append/Prepend richtig verstehen
✅ Follow Streams hat versteckte Features
✅ Expert Info hilft bei der Analyse

Übung macht den Meister!

❓

Fragen?

Teilen Sie Ihre eigenen Tricks!

Happy Analyzing!

Mit diesen Tricks wird's einfacher

gitlab.com/rknall/wiresharktraining