Het doel van Display filters
Zoals in het vorige onderwerp aangehaald zijn er twee soorten filters in Wireshark:
We zagen de Capture Filter, die toegepast wordt tijdens het sniffen. Maar wat is een Display filter dan? en Waarvoor gebruiken we deze?
Een Display filter wordt gebruikt nadat de packets gesnift zijn om:
- Specifieke packets te zoeken (protocols)
- Specifieke events te zoeken
- Te zoeken op specifieke protocol attributen (protocol fields)
De voordelen t.o.v. een Capture filter zijn:
- Je behoudt alle packets
- Je kan uitgebreid zoeken en hebt vele filter opties
- Geen data verlies
Extra info:
Welke informatie wordt er behouden in een Packet capture?
- Packet lengte
- Alle Packet bits
- Tijdstempel (timestamp)
Wat wordt er niet bewaard?
- De huidige Display filter
- Welke packets er gemarkeerd of genegeerd worden
- Tijd referenties
- Naam resolutie informatie