Как отфильтровать по IP-адресу в Wireshark?

Question

Я пытался dst==192.168.1.101, но получаю только:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101

Answer 1

Место назначения матча: ip.dst == x.x.x.x

Источник матча: ip.src == x.x.x.x

Соответствие либо: ip.addr == x.x.x.x

Answer 2

Фильтрация IP-адреса в Wireshark:

(1) одиночная IP-фильтрация:

ip.addr == х.х.х.х

ip.src == х.х.х.х

ip.dst == х.х.х.х

(2) Множественная IP-фильтрация на основе логических условий:

ИЛИ условие:

(ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

И состояние:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)

Answer 3

Вы также можете ограничить фильтр только частью IP-адреса.

например. Для фильтрации 123.*.*.* вы можете использовать ip.addr == 123.0.0.0/8. Подобные эффекты могут быть достигнуты с /16 и /24.

См. Руководства WireShark (фильтры) и найдите Бесклассовая междоменная маршрутизация (CIDR) .

... число после косой черты представляет количество битов, используемых для представления сети.

Answer 4

Если вы заботитесь только о трафике этой конкретной машины, используйте вместо этого фильтр захвата, который можно установить в Capture -> Options.

host 192.168.1.101

Wireshark будет захватывать только пакеты, отправленные или полученные 192.168.1.101.Преимущество этого состоит в том, что требуется меньше обработки, что снижает вероятность потери (пропущенных) важных пакетов.

Answer 5

Попробуйте

ip.dst == 172.16.3.255

Answer 6

На самом деле по какой-то причине wireshark использует два разных типа синтаксиса фильтра: один для фильтра отображения, а другой для фильтра захвата.Фильтр отображения полезен только для поиска определенного трафика только для целей отображения.Похоже, вы заинтересованы во всех трафиках, но сейчас вы просто хотите увидеть конкретные.

, но если вы заинтересованы только в трафике certian и вообще не заботитесь о других, тогда вы используете фильтр захвата.

Синтаксис для фильтра отображения (как упоминалось ранее)

ip.addr = x.x.x.x или ip.src = x.x.x.x или ip.dst = x.x.x.x

, но приведенный выше синтаксис не будет работать в фильтрах захватаНиже приведены фильтры

host xxxx

см. еще пример на странице вики wireshark

Answer 7

при нашем использовании мы должны захватывать с хоста x.x.x.x. или (vlan и host x.x.x.x)

что-нибудь меньшее не захватит? Я не уверен почему, но так оно и работает!

Answer 8

В других ответах уже рассказано, как фильтровать по адресу, но если вы хотите исключить адрес , используйте

ip.addr < 192.168.0.11

Answer 9

Попробуйте записать в строку фильтра: ip.dst == x.x.x.x