Làm cách nào để lọc theo địa chỉ IP trong Wireshark?

291

Tôi đã thử dst==192.168.1.101nhưng chỉ nhận được:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101

wireshark

— Alan
nguồn

534

Điểm đến phù hợp: ip.dst == x.x.x.x

Nguồn kết hợp: ip.src == x.x.x.x

Phù hợp với một trong hai: ip.addr == x.x.x.x

— Archetypal Paul
nguồn

ip.hostcó tác dụng tương tự với ip.addr.

— Shihe Zhang

40

Lọc địa chỉ IP trong Wireshark:

(1) lọc IP đơn:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2) Lọc nhiều IP dựa trên các điều kiện logic:

HOẶC điều kiện:

(ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

VÀ điều kiện:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)

— Rajeev
nguồn

35

Bạn cũng có thể giới hạn bộ lọc chỉ một phần của địa chỉ IP.

EG Để lọc 123.*.*.*bạn có thể sử dụng ip.addr == 123.0.0.0/8. Hiệu ứng tương tự có thể đạt được với /16và /24.

Xem các trang man (bộ lọc) của WireShark và tìm ký hiệu Định tuyến liên vùng (CIDR) không phân loại .

... số sau dấu gạch chéo biểu thị số bit được sử dụng để thể hiện mạng.

— OldCurmudgeon
nguồn

17

Nếu bạn chỉ quan tâm đến lưu lượng của máy cụ thể đó, hãy sử dụng bộ lọc chụp thay thế, mà bạn có thể đặt bên dưới Capture -> Options.

host 192.168.1.101

Wireshark sẽ chỉ chụp gói được gửi đến hoặc nhận bởi 192.168.1.101. Điều này có lợi ích là yêu cầu xử lý ít hơn, làm giảm cơ hội các gói quan trọng bị bỏ (bỏ qua).

— trưởng khoa
nguồn

mỏ hrmm bị vô hiệu hóa :(

— Shanimal

Tôi thấy điều đó trên máy tính của bạn bè của tôi là tốt. Các bộ lọc chụp có thể đã được chuyển đi nơi khác trong các phiên bản mới hơn của Wireshark.

— Trưởng khoa

Có lẽ vì tôi đang chạy phiên bản dùng thử ...> _ <

— Shanimal

2

Bộ lọc chụp chỉ có thể được xây dựng khi dừng chụp. Chúng phải được biên soạn trước. Dừng chụp và menu tùy chọn "Chụp ... Tùy chọn ..." sẽ được bật lại.

— jdw

11

Thử

ip.dst == 172.16.3.255

— Kevin Tighe
nguồn

10

Trên thực tế vì một số lý do, wireshark sử dụng hai loại cú pháp bộ lọc khác nhau một trên bộ lọc hiển thị và loại khác trên bộ lọc chụp. Bộ lọc hiển thị chỉ hữu ích để tìm lưu lượng truy cập nhất định chỉ cho mục đích hiển thị. Nó giống như bạn quan tâm đến tất cả các đề tài nhưng bây giờ bạn chỉ muốn xem cụ thể.

nhưng nếu bạn chỉ quan tâm đến lưu lượng truy cập certian và không quan tâm đến cái khác thì bạn sử dụng bộ lọc chụp.

Cú pháp cho bộ lọc hiển thị là (như đã đề cập trước đó)

ip.addr = x.x.x.x hoặc là ip.src = x.x.x.x hoặc ip.dst = x.x.x.x

nhưng cú pháp trên sẽ không hoạt động trong các bộ lọc chụp, sau đây là các bộ lọc

máy chủ lưu trữ xxxx

xem thêm ví dụ trên trang wiki của wireshark

— Mubashar
nguồn

Điều này khiến tôi mất một thời gian rất dài để làm quen. Nó cũng làm cho một nửa lời khuyên bạn có thể tìm thấy không liên quan, đó là một rào cản để nhập cảnh. :(

— Nanban Jim

2

Lý do bộ lọc chụp sử dụng một cú pháp khác là vì nó đang tìm kiếm một biểu thức lọc pcap, nó chuyển đến thư viện libpcap dưới quyền. Libpcap có nguồn gốc từ tcpdump. Với sự hiểu biết phong phú hơn về các giao thức của Wireshark, nó cần một ngôn ngữ biểu đạt phong phú hơn, do đó, nó đã đưa ra ngôn ngữ riêng.

— Jim Hoagland

1

trong sử dụng của chúng tôi, chúng tôi phải chụp với máy chủ lưu trữ xxxx hoặc (vlan và máy chủ lưu trữ xxxx)

bất cứ điều gì ít hơn sẽ không nắm bắt? Tôi không chắc tại sao nhưng đó là cách nó hoạt động!

— Jerry
nguồn

Bởi vì 1) bộ lọc libpcap / WinPcap (Lọc chụp Wireshark được thực hiện bởi libpcap / WinPcap) có các khả năng hạn chế và không kiểm tra cả các gói được đóng gói Vlan và không đóng gói Vlan và 2) mạng của bạn sử dụng Vlan. Thật không may, nhưng đó là trường hợp.

-2

Các câu trả lời khác đã bao gồm cách lọc theo địa chỉ, nhưng nếu bạn muốn loại trừ việc sử dụng địa chỉ

ip.addr < 192.168.0.11

— tw0z
nguồn