Wireshark filter fuer dns und http

[blub4747]

Halli Hallo,
Ich versuche meine wireshark filter aufs fuer mich wichtigste runter scheinden.
Dieses waeren fuer mich dyndns und no-ip und die passenden DNS gegen abfragen.
Nun habe ich folgende filter versucht:

tcp.port80 && tcp.port53
tcp.port80 and tcp.port53
leider ohne erfolg.
Kann mir bitte jemand die richtigen filter zeigen?
thx,blub4747

 

[marcol1979]

DNS ist schon mal UDP

 

[blub4747]

vielen dank fuer die richtig stellung.
Allerdings verstehe ich nicht wieso der filter nur bis

udp.portxxx

mitspielt und ich nicht die eigentlich port nummer eintragen kann?

 

[DonConto]

Wireshark unterscheidet Display Filter und Capture Filter. Der Capture Filter ist ein wenig umständlicher. Wenn du kein Problem mit der Menge der Pakete hast (wirst du zuhause wohl nicht haben) würde ich den Display Filter nutzen.

Als Capture Filter funktioniert aber

 port 53 or port 80

Als Display Filter nimmst du

 tcp.port==80 || udp.port==53

 

[blub4747]

Vielen dank an den meister.
Allerdings will ich gleich eine frage dran haengen.
Bitte wissen wie nach schluessel woertern suchen kann.
z.b
musteraddresse.net, etc

 

[DonConto]

Das geht auch. Setzt aber voraus, dass man sich ein bisschen mit Wireshark beschäftigt und weiß wo was steht und wie man dann den Filter setzen muss.

Wenn du nach einer bestimmten URL suchst, kannst du es mit einem Display Filter versuchen:

http.request.uri contains "musteradresse.net"

Dazu muss man halt wissen, dass die URL im HTTP Request steht und die URL eben der URI ist. Da wird es also schon kompliziert

Alternativ versuchen mit Edit / Find Packet etwas zu finden. Allerdings muss man dann auch wissen wonach man genau sucht und vor allem wo es steht.