如何在Wireshark中按IP地址进行过滤?
我试图dst==192.168.1.101
但只得到:如何在Wireshark中按IP地址进行过滤?
Neither "dst" nor "192.168.1.101" are field or protocol names.
The following display filter isn't a valid display filter:
dst==192.168.1.101
匹配目标:ip.dst == x.x.x.x
匹配来源:ip.src == x.x.x.x
比赛之一:ip.addr == x.x.x.x
尝试
ip.dst == 172.16.3.255
如果您只关心特定机器的流量,请改用捕获过滤器,您可以在Capture -> Options
下设置该过滤器。
host 192.168.1.101
Wireshark将只捕获发送到或接收到192.168.1.101
的数据包。这具有需要较少处理的好处,这降低了重要数据包被丢弃(丢失)的机会。
您还可以将过滤器限制为仅部分IP地址。
E.G.要筛选123. 。。*您可以使用ip.addr == 123.0.0.0/8
。使用/16
和/24
可以实现类似的效果。
请参阅WireShark man pages (filters)并寻找无类别域间路由(CIDR)表示法。
中的Wireshark...斜线后面的数字表示用于表示网络的位数。
过滤IP地址:
(1)单IP过滤:
ip.addr == XXXX
ip.src == XXXX
ip.dst == XXXX
(2)的基础上的逻辑条件的多个IP过滤:
OR条件:
(ip.src == 192.168.2.25)||(ip.dst == 192.168.2.25)
AND条件:
(ip.src == 192.168 .2.25)& &(ip.dst == 74.125.236.16)
在我们的使用中我们必须用主机xxxx捕获或(vlan和主机x.x.x.x)
什么都不会捕获?我不知道为什么,但这是它的工作方式!
由于1)libpcap/WinPcap过滤器( Wireshark捕获过滤由libpcap/WinPcap完成)具有有限的功能,不会检查VLAN封装和非VLAN封装的数据包,以及2)您的网络使用VLAN。不幸的是,情况就是如此。 – 2014-05-28 18:13:34
实际上由于某种原因,Wireshark使用上显示过滤器两种不同的过滤器语法一个和其他的捕获过滤器。显示过滤器仅用于查找某些流量仅用于显示目的。它就像你对所有交通工具感兴趣,但现在你只想看具体的。
,但如果你有兴趣只在certian流量,不关心其他的都那么你使用捕捉过滤器。
句法显示器用滤波器是(如前所述)
ip.addr = x.x.x.x
或 ip.src = x.x.x.x
或 ip.dst = x.x.x.x
但上述语法将不会在捕集过滤器的工作,下面是滤波器
主机XXXX
看到更多的例子wireshark wiki page
这让我花了很长时间去习惯。它也使你找到一半的建议无关紧要,这是进入的障碍。 :( – 2016-09-20 19:39:03
捕获过滤器使用不同的语法的原因是,它正在寻找一个PCAP过滤表达式,它传递给下属的libpcap库。Libpcap的起源出的tcpdump的。使用Wireshark的更丰富的协议的理解,它需要一个更丰富表达的语言,所以它提出了自己的语言。 – 2016-11-02 22:04:01
尝试在过滤字符串写出来: ip.dst == XXXX
,并筛选出特定的IP地址:
ip.addr < 192.168.0.11
也不要忘记点击'应用'... – Benjol 2013-12-11 07:43:16
哈哈ahhaha,比原型保罗和@ Benjol! – 2017-11-12 09:35:40