Как отфильтровать по IP-адресу в Wireshark?

Question

Как отфильтровать по IP-адресу в Wireshark?

Я старался dst==192.168.1.101 но только получить:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101

297

wireshark

Источник

user417798 28 окт '10 в 13:34

9 ответов

Решение

Фильтрация IP-адреса в Wireshark:

(1) одиночная IP-фильтрация:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2) Множественная IP-фильтрация на основе логических условий:

ИЛИ условие:

(Ip.src==192.168.2.25)||(ip.dst==192.168.2.25)

И условие:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)

42

Источник

user1516804 04 май '13 в 04:47

Вы также можете ограничить фильтр только частью IP-адреса.

Например, к фильтру 123...* ты можешь использовать ip.addr == 123.0.0.0/8, Подобные эффекты могут быть достигнуты с /16 а также /24,

См. Справочные страницы WireShark (фильтры) и найдите нотацию Classless InterDomain Routing (CIDR).

... число после косой черты представляет количество битов, используемых для представления сети.

39

Источник

user823393 19 мар '13 в 14:21

Если вы заботитесь только о трафике этой конкретной машины, используйте вместо этого фильтр захвата, который вы можете установить в Capture -> Options,

host 192.168.1.101

Wireshark будет захватывать только пакеты, отправленные или полученные 192.168.1.101, Преимущество этого состоит в том, что требуется меньше обработки, что снижает вероятность потери (пропущенных) важных пакетов.

19

Источник

user276457 14 сен '12 в 02:26

На самом деле по какой-то причине wireshark использует два разных типа синтаксиса фильтра: один для фильтра отображения, а другой для фильтра захвата. Фильтр отображения полезен только для поиска определенного трафика только для целей отображения. Как будто вы заинтересованы во всех трафиках, но сейчас вы просто хотите увидеть конкретные.

но если вас интересует только определенный трафик и вы не заботитесь о других, тогда используйте фильтр захвата.

Синтаксис для фильтра отображения (как упоминалось ранее)

ip.addr = x.x.x.xили жеip.src = x.x.x.xили жеip.dst = x.x.x.x

но приведенный выше синтаксис не будет работать в фильтрах захвата, ниже приведены фильтры

хост хххх

см. больше примера на вики-странице wireshark

11

Источник

user806076 25 мар '15 в 04:59

Пытаться

ip.dst == 172.16.3.255

11

Источник

user39461 28 окт '10 в 13:38

При нашем использовании мы должны захватывать с хоста xxxx или (vlan и host xxxx)

что-нибудь меньшее не захватит? Я не уверен почему, но так оно и есть!

1

Источник

user3683548 28 май '14 в 12:09

Другие ответы уже описывают, как фильтровать по адресу, но если вы хотите исключить использование адреса

ip.addr < 192.168.0.11

-2

Источник

user9291372 30 янв '18 в 21:25

Попробуйте записать в строку фильтра: ip.dst == xxxx

-2

Источник

user3584297 29 авг '17 в 09:24

Другие вопросы по тегам wireshark

user21755 28 окт '10 в 13:59 2010-10-28 13:59 · Accepted Answer · 2010-10-28 13:59

Место назначения матча: ip.dst == x.x.x.x

Источник совпадения: ip.src == x.x.x.x

Подходим либо: ip.addr == x.x.x.x

543

Источник

user21755 28 окт '10 в 13:59