Wireshark - 1.0 Betriebsanweisung

A very useful mechanism available in Wireshark is packet colorization. You can set-up Wireshark
so that it will colorize packets according to a filter. This allows you to emphasize the packets you
are (usually) interested in.

You will find a lot of Coloring Rule examples at the Wireshark Wiki Coloring Rules
page at

.

There are two types of coloring rules in Wireshark. Temporary ones that are only used until you quit
the program. And permanent ones that will be saved to a preference file so that they are available on
a next session.

Temporary coloring rules can be added by selecting a packet and pressing the <ctrl> key together
with one of the number keys. This will create a coloring rule based on the currently selected conver-
sation. It will try to create a conversation filter based on TCP first, then UDP, then IP and at last
Ethernet. Temporary filters can also be created by selecting the "Colorize with Filter > Color X"
menu items when rightclicking in the packet-detail pane.

To permanently colorize packets, select the Coloring Rules... menu item from the View menu;
Wireshark will pop up the "Coloring Rules" dialog box as shown in

Once the Coloring Rules dialog box is up, there are a number of buttons you can use, depending on
whether or not you have any color filters installed already.

You will need to carefully select the order the coloring rules are listed as they are ap-
plied in order from top to bottom. So, more specific rules need to be listed before more
general rules. For example, if you have a color rule for UDP before the one for DNS,
the color rule for DNS will never be applied (as DNS uses UDP, so the UDP rule will
match first).

Customizing Wireshark

171