Как отфильтровать по IP-адресу в Wireshark?

291

Я пытался, dst==192.168.1.101но только получить:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101
wireshark Алан
источник

Ответы:

534

Место назначения матча: ip.dst == x.x.x.x

Источник совпадения: ip.src == x.x.x.x

Подходим либо: ip.addr == x.x.x.x

Архетипический Павел
источник
ip.hostиметь тот же эффект с ip.addr.
Шихе Чжан
40

Фильтрация IP-адреса в Wireshark:

(1) одиночная IP-фильтрация:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2) Множественная IP-фильтрация на основе логических условий:

ИЛИ условие:

(Ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

И условие:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)

Раджив Дас
источник
35

Вы также можете ограничить фильтр только частью IP-адреса.

Например, для фильтрации 123.*.*.*вы можете использовать ip.addr == 123.0.0.0/8. Подобные эффекты могут быть достигнуты /16и/24 .

См. Справочные страницы WireShark (фильтры) и найдите нотацию Classless InterDomain Routing (CIDR) .

... число после косой черты представляет количество битов, используемых для представления сети.

OldCurmudgeon
источник
17

Если вы заботитесь только о трафике этой конкретной машины, используйте вместо этого фильтр захвата, который вы можете установить в Capture -> Options.

host 192.168.1.101

Wireshark будет захватывать только пакеты, отправленные или полученные 192.168.1.101. Преимущество этого состоит в том, что требуется меньше обработки, что снижает вероятность потери (пропущенных) важных пакетов.

декан
источник
Хрм шахта отключена :(
Shanimal
Я видел это и на компьютере моих друзей. Фильтры захвата, возможно, были перемещены в другое место в более новых версиях Wireshark.
Дин
Возможно, потому что я использую пробную версию ...> _ <
Shanimal
2
Фильтры захвата могут быть построены только тогда, когда захват остановлен. Они должны быть предварительно скомпилированы. Остановите захват, и меню «Capture ... Options ...» снова будет активировано.
JDW
10

На самом деле по какой-то причине wireshark использует два различных типа синтаксиса фильтра: один для фильтра отображения, а другой для фильтра захвата. Фильтр отображения полезен только для поиска определенного трафика только для целей отображения. Как будто вы заинтересованы во всех трафиках, но сейчас вы просто хотите увидеть конкретные.

но если вас интересует только определенный трафик и вы вообще не заботитесь о других, используйте фильтр захвата.

Синтаксис для фильтра отображения (как упоминалось ранее)

ip.addr = x.x.x.x или ip.src = x.x.x.x или ip.dst = x.x.x.x

но приведенный выше синтаксис не будет работать в фильтрах захвата, ниже приведены фильтры

хост хххх

см. больше примера на вики-странице wireshark

Mubashar
источник
Мне потребовалось очень много времени, чтобы привыкнуть. Это также делает половину совета, который вы можете найти неуместным, что является препятствием для входа. :(
Нанбан Джим
2
Причина, по которой фильтр захвата использует другой синтаксис, заключается в том, что он ищет выражение фильтрации pcap, которое он передает в нижележащую библиотеку libpcap. Libpcap возник из tcpdump. Благодаря более глубокому пониманию протоколов Wireshark ему потребовался более богатый язык выражений, поэтому он предложил свой собственный язык.
Джим Хоугленд
1

при нашем использовании мы должны захватывать с хоста xxxx или (vlan и host xxxx)

что-нибудь меньшее не захватит? Я не уверен почему, но так оно и есть!

Джерри
источник
Потому что 1) фильтры libpcap / WinPcap (фильтрация перехвата Wireshark выполняется libpcap / WinPcap) имеют ограниченные возможности и не проверяют как пакеты, инкапсулированные как в VLAN, так и в пакеты, не инкапсулированные в VLAN, и 2) ваша сеть использует VLAN. К сожалению, но это так.
-2

Другие ответы уже охватывают как фильтровать по адресу, но если вы хотите , чтобы исключить адрес использование

ip.addr < 192.168.0.11

tw0z
источник