Как фильтровать по IP адресу в Wireshark?

пробовал dst==192.168.1.101 но только вам :

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101
9 221
wireshark

9 ответов:

место назначения матча:ip.dst == x.x.x.x

матч источник: ip.src == x.x.x.x

матч либо: ip.addr == x.x.x.x

416

вы также можете ограничить фильтр только частью ip-адреса.

например, для фильтрации 123...* вы можете использовать ip.addr == 123.0.0.0/8. Аналогичные эффекты могут быть достигнуты с /16 и /24.

посмотреть Wireshark man pages (фильтры) искать бесклассовая междоменная маршрутизация (CIDR) нотация.

... число после косой черты означает количество бит, используемых для представления сети.

27

фильтрация IP-адреса в Wireshark:

(1)одиночная фильтрация IP:

ip.addr==X. X. X. X

ip.СРЦ==Х. Х. Х. Х

ip.ДСТ==Х. Х. Х. Х

(2)множественная фильтрация IP на основе логических условий:

или состоянии:

(ip.src= = 192.168.2.25| / / (ip.dst= = 192.168.2.25)

и условие:

(ip.src= = 192.168.2.25) & & (ip.dst= = 74.125.236.16)

26

попробовать

ip.dst == 172.16.3.255
11

Если вы заботитесь только о трафике этой конкретной машины, вместо этого используйте фильтр захвата, который вы можете установить под Capture -> Options. 

host 192.168.1.101

Wireshark будет захватывать только пакет, отправленный или полученный 192.168.1.101. Это имеет то преимущество, что требует меньше обработки, что снижает вероятность отбрасывания важных пакетов (пропущенных).

9

на самом деле по какой-то причине wireshark использует два разных вида синтаксиса фильтра: один на фильтре отображения, а другой на фильтре захвата. Фильтр отображения полезен только для поиска определенного трафика только для целей отображения. его, как вы заинтересованы во всех trafic, но сейчас вы просто хотите увидеть конкретные.

но если вы заинтересованы только в certian трафика и не заботится о других вообще, то вы используете фильтр захвата.

синтаксис фильтра отображения (как упоминалось ранее)

ip.addr = x.x.x.x или ip.src = x.x.x.x или ip.dst = x.x.x.x

но выше синтаксис не будет работать в фильтрах захвата, следующие фильтры

хост x.x.x. x

смотрите больше примеров на wireshark wiki page

6

в нашей пользы мы должны захватить с хоста X.х.х.х. или (VLAN и хост X.х.х.х)

ничего меньше не захватит? Я не уверен, почему, но это так работает!

1

попробуйте записать в строку фильтра: интеллектуальная собственность.dst = = x.x.x. x

-2

и отфильтровать определенный ip-адрес:

ip.addr

-2