Jak filtrować według adresu IP w Wireshark?

291

Próbowałem, dst==192.168.1.101ale dostałem tylko:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101
wireshark Alan
źródło

Odpowiedzi:

534

Dopasuj miejsce docelowe: ip.dst == x.x.x.x

Dopasuj źródło: ip.src == x.x.x.x

Dopasuj albo: ip.addr == x.x.x.x

Archetypalny Paweł
źródło
ip.hostmają ten sam efekt z ip.addr.
Shihe Zhang
40

Filtrowanie adresu IP w Wireshark:

(1) filtrowanie pojedynczego adresu IP:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2) Wielokrotne filtrowanie adresów IP na podstawie warunków logicznych:

LUB warunek:

(ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

ORAZ warunek:

(ip.src == 192.168.2.25) i& (ip.dst == 74.125.236.16)

Rajeev Das
źródło
35

Możesz także ograniczyć filtr do tylko części adresu IP.

EG Do filtrowania 123.*.*.*możesz użyć ip.addr == 123.0.0.0/8. Podobne efekty można osiągnąć za pomocą /16i /24.

Zobacz strony podręcznika (filtry) WireShark i poszukaj notacji ClassID InterDomain Routing (CIDR) .

... liczba po ukośniku reprezentuje liczbę bitów używanych do reprezentowania sieci.

OldCurmudgeon
źródło
17

Jeśli zależy Ci tylko na ruchu określonego komputera, użyj filtru przechwytywania, w którym możesz ustawić Capture -> Options.

host 192.168.1.101

Wireshark przechwytuje tylko pakiet wysłany lub odebrany przez 192.168.1.101. Ma to tę zaletę, że wymaga mniejszego przetwarzania, co zmniejsza prawdopodobieństwo odrzucenia (pominięcia) ważnych pakietów.

Dziekan
źródło
hrmm moje jest wyłączone :(
Shanimal
Widziałem to również na komputerze moich przyjaciół. Filtry przechwytywania mogły zostać przeniesione gdzie indziej w nowszych wersjach Wireshark.
Dziekan
Może dlatego, że uruchamiam wersję próbną ...> _ <
Shanimal
2
Filtry przechwytywania można budować tylko po zatrzymaniu przechwytywania. Muszą być wstępnie skompilowane. Zatrzymaj przechwytywanie, a opcja „Przechwyć ... Opcje ...” zostanie ponownie włączona.
jdw
11

Próbować

ip.dst == 172.16.3.255
Kevin Tighe
źródło
10

Właściwie z jakiegoś powodu wireshark używa dwóch różnych rodzajów składni filtrów: jeden na filtrze wyświetlania i drugi na filtrze przechwytywania. Filtr wyświetlania jest użyteczny tylko do wyszukiwania określonego ruchu tylko do celów wyświetlania. to tak, jakbyś był zainteresowany wszelkim ruchem, ale na razie chcesz po prostu zobaczyć konkretne.

ale jeśli interesuje Cię tylko ruch certyfikatów i w ogóle nie obchodzą Cię inne, użyj filtra przechwytywania.

Składnia filtru wyświetlania jest (jak wspomniano wcześniej)

ip.addr = x.x.x.x lub ip.src = x.x.x.x lub ip.dst = x.x.x.x

ale powyższa składnia nie działa w filtrach przechwytywania, następujące są filtry

host xxxx

zobacz więcej przykładów na stronie wiki wireshark

Mubashar
źródło
Zajęło mi to bardzo dużo czasu. To także sprawia, że ​​połowa porad, które można uznać za nieistotne, stanowi barierę dla wejścia. :(
Nanban Jim,
2
Filtr przechwytujący wykorzystuje inną składnię, ponieważ szuka wyrażenia filtrującego pcap, które przekazuje do podstawowej biblioteki libpcap. Libpcap pochodzi z tcpdump. Dzięki bogatszemu zrozumieniu protokołów Wireshark potrzebował bogatszego języka wyrażeń, więc opracował własny język.
Jim Hoagland,
1

w naszym użyciu musimy przechwytywać z hostem xxxx lub (vlan i host xxxx)

nic mniej nie uchwyci? Nie jestem pewien dlaczego, ale tak to działa!

Nocnik
źródło
Ponieważ 1) filtry libpcap / WinPcap (filtrowanie przechwytywania Wireshark jest wykonywane przez libpcap / WinPcap) mają ograniczone możliwości i nie sprawdzają zarówno pakietów enkapsulowanych w VLAN, jak i innych niż VLAN oraz 2) twoja sieć używa VLAN. Niestety, ale tak jest w tym przypadku.
-2

Inne odpowiedzi już dotyczą sposobu filtrowania według adresu, ale jeśli chcesz wykluczyć użycie adresu

ip.addr < 192.168.0.11

tw0z
źródło