จะกรองตามที่อยู่ IP ใน Wireshark ได้อย่างไร


291

ฉันพยายามdst==192.168.1.101แต่รับ:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101

คำตอบ:


534

ตรงกับปลายทาง: ip.dst == x.x.x.x

แหล่งที่มาของการจับคู่: ip.src == x.x.x.x

จับคู่อย่างใดอย่างหนึ่ง: ip.addr == x.x.x.x


ip.hostip.addrมีผลเช่นเดียวกันกับ
Shihe Zhang

40

กรองที่อยู่ IP ใน Wireshark:

(1) การกรอง IP เดียว:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2) การกรอง IP หลายรายการตามเงื่อนไขตรรกะ:

หรือเงื่อนไข:

(ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

และเงื่อนไข:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)


35

คุณสามารถ จำกัด ตัวกรองได้เพียงบางส่วนของที่อยู่ IP

กรองเช่นเพื่อที่คุณสามารถใช้123.*.*.* ip.addr == 123.0.0.0/8ผลกระทบที่คล้ายกันสามารถทำได้ด้วยและ/16/24

ดูหน้า WireShark คน (ฟิลเตอร์)และมองหาClassless interdomain Routing (CIDR)

... จำนวนหลังจากเครื่องหมายสแลชแสดงถึงจำนวนบิตที่ใช้เพื่อแสดงเครือข่าย


17

หากคุณสนใจเฉพาะทราฟฟิกของเครื่องนั้นให้ใช้ตัวกรองการจับภาพแทนซึ่งคุณสามารถตั้งค่าCapture -> Optionsได้

host 192.168.1.101

Wireshark เพียงจับ packet 192.168.1.101จะถูกส่งไปยังหรือที่ได้รับจาก นี่เป็นข้อดีของการประมวลผลที่น้อยลงซึ่งช่วยลดโอกาสที่แพ็กเก็ตสำคัญจะถูกทิ้ง (พลาด)


เหมือง hrmm ถูกปิดใช้งาน :(
Shanimal

ฉันเห็นสิ่งนั้นบนคอมพิวเตอร์เพื่อนของฉันเช่นกัน ตัวกรองการจับอาจถูกย้ายไปที่อื่นใน Wireshark เวอร์ชันใหม่
คณบดี

อาจเป็นเพราะฉันใช้งานเวอร์ชั่นทดลอง ... > _ <
Shanimal

2
ตัวกรองการจับภาพสามารถสร้างได้เมื่อหยุดการจับภาพเท่านั้น พวกเขาจะต้องรวบรวมไว้ล่วงหน้า หยุดการจับภาพและตัวเลือกเมนู "จับภาพ ... ตัวเลือก ... " จะเปิดใช้งานอีกครั้ง
jdw


10

จริงๆแล้วด้วยเหตุผลบางอย่าง wireshark ใช้ไวยากรณ์ตัวกรองสองแบบที่แตกต่างกันอย่างหนึ่งในตัวกรองการแสดงผลและตัวกรองการจับภาพอื่น ๆ ตัวกรองการแสดงผลมีประโยชน์สำหรับการค้นหาปริมาณการใช้งานเฉพาะเพื่อการแสดงผลเท่านั้น มันเหมือนคุณสนใจ trafic ทั้งหมด แต่สำหรับตอนนี้คุณแค่อยากเห็นเฉพาะ

แต่ถ้าคุณสนใจในปริมาณการใช้ข้อมูลที่แน่นอนและไม่สนใจเรื่องอื่น ๆ เลยให้ใช้ตัวกรองการจับภาพ

ไวยากรณ์สำหรับตัวกรองการแสดงผลคือ (ดังกล่าวก่อนหน้า)

ip.addr = x.x.x.x หรือ ip.src = x.x.x.x หรือ ip.dst = x.x.x.x

แต่ไวยากรณ์ข้างต้นจะไม่ทำงานในตัวกรองการจับภาพต่อไปนี้เป็นตัวกรอง

โฮสต์ xxxx

ดูตัวอย่างเพิ่มเติมในหน้า wireshark wiki


ฉันใช้เวลานานมากในการทำความคุ้นเคย นอกจากนี้ยังให้คำแนะนำเพียงครึ่งเดียวที่คุณไม่สามารถหาได้ซึ่งเป็นอุปสรรคต่อการเข้ามา :(
Nanban Jim

2
เหตุผลที่ตัวกรองการจับภาพใช้ไวยากรณ์ที่แตกต่างกันคือมันกำลังมองหานิพจน์การกรอง pcap ซึ่งมันส่งผ่านไปยังไลบรารี libpcap ที่อยู่ภายใต้ Libpcap เกิดจาก tcpdump ด้วยความเข้าใจอันมากมายของ Wireshark เกี่ยวกับโปรโตคอลจึงจำเป็นต้องใช้ภาษาที่มีการแสดงออกที่หลากหลายยิ่งขึ้นดังนั้นจึงเกิดขึ้นกับภาษาของตัวเอง
Jim Hoagland

1

ในการใช้งานของเราเราต้องจับภาพด้วยโฮสต์ xxxx หรือ (vlan และโฮสต์ xxxx)

อะไรที่น้อยกว่าจะไม่ถูกจับ? ฉันไม่แน่ใจว่าทำไม แต่นั่นคือวิธีการทำงาน!


เนื่องจาก 1) ตัวกรอง libpcap / WinPcap (การกรองการจับภาพ Wireshark ทำโดย libpcap / WinPcap) มีความสามารถ จำกัด และไม่ตรวจสอบทั้งแพ็คเก็ต VLAN ที่ห่อหุ้มและไม่ใช่ VLAN และ 2) เครือข่ายของคุณใช้ VLANs โชคร้าย แต่นั่นเป็นกรณี

-2

คำตอบอื่น ๆ ครอบคลุมวิธีการกรองตามที่อยู่แล้ว แต่หากคุณต้องการยกเว้นการใช้ที่อยู่

ip.addr < 192.168.0.11

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.