10
Wireshark nur Inbound Traffic aufzeichnen
Hallo
Wie kann ich meinen Windows 10 Laptop konfigurieren, dass ich im Wireshark Capture nur inkoming Traffic sehe und nicht noch den Traffic welche meine PC generiert.
Ich habe einen Port Mirroring auf einem Switch konfgiuriert und sehe mehr Pakete von meinen PC, als von dem gesnifften Ports.
Hab schon verschiedene Sachen versucht Promiscous Mode ist aktiviert, etc.
Kann mir jemand helfen?
mfg
Mike
Wie kann ich meinen Windows 10 Laptop konfigurieren, dass ich im Wireshark Capture nur inkoming Traffic sehe und nicht noch den Traffic welche meine PC generiert.
Ich habe einen Port Mirroring auf einem Switch konfgiuriert und sehe mehr Pakete von meinen PC, als von dem gesnifften Ports.
Hab schon verschiedene Sachen versucht Promiscous Mode ist aktiviert, etc.
Kann mir jemand helfen?
mfg
Mike
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 387229
Url: https://administrator.de/contentid/387229
Printed on: April 24, 2024 at 09:04 o'clock
10 Comments
Latest comment
Hallo,
Versuchen kannst du biel, wir aber nichts helfen.
Im Wiresahk Anzeige Filter nur deine MAC oder IP als Ziel anzeigen lassen Display Filter) https://wiki.wireshark.org/DisplayFilters
Gruß,
Peter
Zitat von @MikePost:
Wie kann ich meinen Windows 10 Laptop konfigurieren, dass ich im Wireshark Capture nur inkoming Traffic sehe und nicht noch den Traffic welche meine PC generiert.
Gar nicht.Wie kann ich meinen Windows 10 Laptop konfigurieren, dass ich im Wireshark Capture nur inkoming Traffic sehe und nicht noch den Traffic welche meine PC generiert.
Ich habe einen Port Mirroring auf einem Switch konfgiuriert und sehe mehr Pakete von meinen PC, als von dem gesnifften Ports.
Aha, Port Mirror und da kannst du nicht Source / Destination auswählen/definieren?Versuchen kannst du biel, wir aber nichts helfen.
Im Wiresahk Anzeige Filter nur deine MAC oder IP als Ziel anzeigen lassen Display Filter) https://wiki.wireshark.org/DisplayFilters
Gruß,
Peter
Zitat von @Pjordorf:
Im Wiresahk Anzeige Filter nur deine MAC oder IP als Ziel anzeigen lassen Display Filter) https://wiki.wireshark.org/DisplayFilters
Im Wiresahk Anzeige Filter nur deine MAC oder IP als Ziel anzeigen lassen Display Filter) https://wiki.wireshark.org/DisplayFilters
Die oben verlinkten Capture-Filter machen das, was der TO will.
lks
Schalte an der betroffenen Netzwerkkarte einfach alle Protokolle ab — dann generiert Windows einfach keinen Traffic darauf.
unter den Netzwerkeigenschaften alle häckchen raus, oder nur die für IPV4/6?
Zwangsweise sollten das alle sein — denn wenn du die IP-Protokolle deaktivierst funktionieren die anderen i.d.R. auch nicht mehr 
super danke dir
ich versuche es...
ich versuche es...
Du hättest auch einfach einen Capture-Filter setzen können.
Manche schrauben halt das ganze Auto auseinander, nur um den Ölfilter zu wechseln.
lks
Kollege LKS hat hier absolut Recht.
Ist doch sinnfrei an den NIC Settings unter Winblows zu frickeln wenn man das mit einem so simplen und einfachen Capture Filter auch hinbekommt mit not ether src xyz.
Wobei xyz hier die Mac Adresse der Netzwerkkarte ist die man ja nun mit ipconfig -all in Sekunden herausbekommt.
Aber heute ist ja Freitag...getreu dem Motto warum einfach machen wenn es umständlich auch geht
Case closed
Ist doch sinnfrei an den NIC Settings unter Winblows zu frickeln wenn man das mit einem so simplen und einfachen Capture Filter auch hinbekommt mit not ether src xyz.
Wobei xyz hier die Mac Adresse der Netzwerkkarte ist die man ja nun mit ipconfig -all in Sekunden herausbekommt.
Aber heute ist ja Freitag...getreu dem Motto warum einfach machen wenn es umständlich auch geht
Case closed
Das Problem mit dem Filter ist, dass du unter Umständen (z.B. laufende VMs, bestimmte VPN-Software) weitere MAC-Adressen hast, die du dann auch filtern müsstest.
Und der garantiert funktionierende Weg ist, der Netzwerkkarte sämtliche Protokollbindungen zu entfernen — ab dann wird das Interface auch immer als "nicht verbunden" dargestellt und das Interface kann nur noch passiv im Promiscous Mode abgehört werden. Es wird aber kein ausgehender Traffic mehr darauf erzeugt.
Und der garantiert funktionierende Weg ist, der Netzwerkkarte sämtliche Protokollbindungen zu entfernen — ab dann wird das Interface auch immer als "nicht verbunden" dargestellt und das Interface kann nur noch passiv im Promiscous Mode abgehört werden. Es wird aber kein ausgehender Traffic mehr darauf erzeugt.
