Próbowałem, dst==192.168.1.101
ale dostałem tylko:
Neither "dst" nor "192.168.1.101" are field or protocol names.
The following display filter isn't a valid display filter:
dst==192.168.1.101
Dopasuj miejsce docelowe: ip.dst == x.x.x.x
Dopasuj źródło: ip.src == x.x.x.x
Dopasuj albo: ip.addr == x.x.x.x
ip.host
mają ten sam efekt zip.addr
.Filtrowanie adresu IP w Wireshark:
(1) filtrowanie pojedynczego adresu IP:
ip.addr == XXXX
ip.src == XXXX
ip.dst == XXXX
(2) Wielokrotne filtrowanie adresów IP na podstawie warunków logicznych:
LUB warunek:
(ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)
ORAZ warunek:
(ip.src == 192.168.2.25) i& (ip.dst == 74.125.236.16)
źródło
Możesz także ograniczyć filtr do tylko części adresu IP.
EG Do filtrowania
123.*.*.*
możesz użyćip.addr == 123.0.0.0/8
. Podobne efekty można osiągnąć za pomocą/16
i/24
.Zobacz strony podręcznika (filtry) WireShark i poszukaj notacji ClassID InterDomain Routing (CIDR) .
źródło
Jeśli zależy Ci tylko na ruchu określonego komputera, użyj filtru przechwytywania, w którym możesz ustawić
Capture -> Options
.Wireshark przechwytuje tylko pakiet wysłany lub odebrany przez
192.168.1.101
. Ma to tę zaletę, że wymaga mniejszego przetwarzania, co zmniejsza prawdopodobieństwo odrzucenia (pominięcia) ważnych pakietów.źródło
Próbować
źródło
Właściwie z jakiegoś powodu wireshark używa dwóch różnych rodzajów składni filtrów: jeden na filtrze wyświetlania i drugi na filtrze przechwytywania. Filtr wyświetlania jest użyteczny tylko do wyszukiwania określonego ruchu tylko do celów wyświetlania. to tak, jakbyś był zainteresowany wszelkim ruchem, ale na razie chcesz po prostu zobaczyć konkretne.
ale jeśli interesuje Cię tylko ruch certyfikatów i w ogóle nie obchodzą Cię inne, użyj filtra przechwytywania.
Składnia filtru wyświetlania jest (jak wspomniano wcześniej)
ip.addr = x.x.x.x
lubip.src = x.x.x.x
lubip.dst = x.x.x.x
ale powyższa składnia nie działa w filtrach przechwytywania, następujące są filtry
host xxxx
zobacz więcej przykładów na stronie wiki wireshark
źródło
w naszym użyciu musimy przechwytywać z hostem xxxx lub (vlan i host xxxx)
nic mniej nie uchwyci? Nie jestem pewien dlaczego, ale tak to działa!
źródło
Inne odpowiedzi już dotyczą sposobu filtrowania według adresu, ale jeśli chcesz wykluczyć użycie adresu
ip.addr < 192.168.0.11
źródło