Як відфільтрувати IP-адресу в Wireshark?

291

Я намагався, dst==192.168.1.101але отримую лише:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101

wireshark

— Алан
джерело

534

Місце призначення: ip.dst == x.x.x.x

Джерело відповідності: ip.src == x.x.x.x

Збіг або: ip.addr == x.x.x.x

— Архетипний Павло
джерело

ip.hostмають той же ефект, що і з ip.addr.

— Шихе Чжан

40

Фільтрування IP-адреси в Wireshark:

(1) одноразова фільтрація IP:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2) Багаторазова фільтрація IP на основі логічних умов:

АБО умова:

(ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

І стан:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)

— Раєєв Дас
джерело

35

Ви також можете обмежити фільтр лише частиною ip-адреси.

EG Для фільтра 123.*.*.*можна використовувати ip.addr == 123.0.0.0/8. Аналогічних ефектів можна досягти за допомогою /16і /24.

Перегляньте підручні сторінки WireShark (фільтри) та знайдіть нотацію безкласового міждоменного маршрутизації (CIDR) .

... число після косої риси представляє кількість бітів, які використовуються для представлення мережі.

— OldCurmudgeon
джерело

17

Якщо ви дбаєте лише про трафік конкретної машини, використовуйте натомість фільтр захоплення, який ви можете встановити під Capture -> Options.

host 192.168.1.101

Wireshark буде захоплювати лише пакет, надісланий або отриманий користувачем 192.168.1.101. Це має перевагу вимагати меншої обробки, що знижує шанси на те, що важливі пакети будуть скинуті (пропущені).

— Дін
джерело

хвм міна вимкнена :(

— Shanimal

Я це бачив і на комп’ютері своїх друзів. Фільтри захоплення, можливо, були перенесені в іншу версію Wireshark.

— Дін

Можливо тому, що я запускаю пробну версію ...> _ <

— Shanimal

2

Фільтри захоплення можна вбудувати лише тоді, коли захоплення припинено. Їх потрібно попередньо скласти. Зупиніть захоплення і параметр меню "Захопити ... Параметри ..." буде знову ввімкнено.

— jdw

11

Спробуйте

ip.dst == 172.16.3.255

— Кевін Тіге
джерело

10

Насправді чомусь wireshark використовує два різні види синтаксису фільтру: один на фільтрі відображення, а інший на фільтрі захоплення. Фільтр дисплея корисний лише для пошуку певного трафіку лише з метою відображення. як ніби вас цікавлять усі трафічні, але поки ви просто хочете побачити конкретні.

але якщо вас цікавить лише сертифікований трафік і зовсім не байдуже про інших, тоді ви використовуєте фільтр захоплення.

Фільтр синтаксису для відображення (як згадувалося раніше)

ip.addr = x.x.x.x або ip.src = x.x.x.x або ip.dst = x.x.x.x

але вище синтаксис не працюватиме у фільтрах захоплення, наступними є фільтри

хост xxxx

див. більше приклад на сторінці вікі Wireshark

— Мубашар
джерело

Це зайняло у мене дуже довгий час, щоб звикнути. Це також робить половину порад, які можна вважати невідповідними, що є перешкодою для вступу. :(

— Нанбан Джим

2

Причина, що фільтр захоплення використовує інший синтаксис, полягає в тому, що він шукає вираз фільтрації pcap, який він передає до нижньої бібліотеки libpcap. Libpcap виник із tcpdump. При більш насиченому розумінні протоколів Wireshark йому потрібна була більш насичена мова вираження, тому він придумав власну мову.

— Jim Hoagland

1

у нашому використанні ми маємо захопити хост xxxx або (vlan та хост xxxx)

нічого менше не захопить? Я не впевнений чому, але це так, як це працює!

— Джеррі
джерело

Оскільки 1) фільтри libpcap / WinPcap (фільтрування захоплення Wireshark виконується libpcap / WinPcap) мають обмежені можливості і не перевіряють, як інкапсульовані VLAN, так і невлаштовані VLAN пакети, і 2) ваша мережа використовує VLAN. Невдало, але це так.

-2

Інші відповіді вже охоплюють як фільтрувати за адресою, але якщо ви хочете , щоб виключити адресу використання

ip.addr < 192.168.0.11

— tw0z
джерело