จะกรองตามที่อยู่ IP ใน Wireshark ได้อย่างไร

291

ฉันพยายามdst==192.168.1.101แต่รับ:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101

wireshark

— อลัน
แหล่งที่มา

534

ตรงกับปลายทาง: ip.dst == x.x.x.x

แหล่งที่มาของการจับคู่: ip.src == x.x.x.x

จับคู่อย่างใดอย่างหนึ่ง: ip.addr == x.x.x.x

— เทพพอล
แหล่งที่มา

ip.hostip.addrมีผลเช่นเดียวกันกับ

— Shihe Zhang

40

กรองที่อยู่ IP ใน Wireshark:

(1) การกรอง IP เดียว:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2) การกรอง IP หลายรายการตามเงื่อนไขตรรกะ:

หรือเงื่อนไข:

(ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

และเงื่อนไข:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)

— Rajeev Das
แหล่งที่มา

35

คุณสามารถ จำกัด ตัวกรองได้เพียงบางส่วนของที่อยู่ IP

กรองเช่นเพื่อที่คุณสามารถใช้123.*.*.* ip.addr == 123.0.0.0/8ผลกระทบที่คล้ายกันสามารถทำได้ด้วยและ/16/24

ดูหน้า WireShark คน (ฟิลเตอร์)และมองหาClassless interdomain Routing (CIDR)

... จำนวนหลังจากเครื่องหมายสแลชแสดงถึงจำนวนบิตที่ใช้เพื่อแสดงเครือข่าย

— OldCurmudgeon
แหล่งที่มา

17

หากคุณสนใจเฉพาะทราฟฟิกของเครื่องนั้นให้ใช้ตัวกรองการจับภาพแทนซึ่งคุณสามารถตั้งค่าCapture -> Optionsได้

host 192.168.1.101

Wireshark เพียงจับ packet 192.168.1.101จะถูกส่งไปยังหรือที่ได้รับจาก นี่เป็นข้อดีของการประมวลผลที่น้อยลงซึ่งช่วยลดโอกาสที่แพ็กเก็ตสำคัญจะถูกทิ้ง (พลาด)

— คณบดี
แหล่งที่มา

เหมือง hrmm ถูกปิดใช้งาน :(

— Shanimal

ฉันเห็นสิ่งนั้นบนคอมพิวเตอร์เพื่อนของฉันเช่นกัน ตัวกรองการจับอาจถูกย้ายไปที่อื่นใน Wireshark เวอร์ชันใหม่

— คณบดี

อาจเป็นเพราะฉันใช้งานเวอร์ชั่นทดลอง ... > _ <

— Shanimal

2

ตัวกรองการจับภาพสามารถสร้างได้เมื่อหยุดการจับภาพเท่านั้น พวกเขาจะต้องรวบรวมไว้ล่วงหน้า หยุดการจับภาพและตัวเลือกเมนู "จับภาพ ... ตัวเลือก ... " จะเปิดใช้งานอีกครั้ง

— jdw

11

ลอง

ip.dst == 172.16.3.255

— เควิน Tighe
แหล่งที่มา

10

จริงๆแล้วด้วยเหตุผลบางอย่าง wireshark ใช้ไวยากรณ์ตัวกรองสองแบบที่แตกต่างกันอย่างหนึ่งในตัวกรองการแสดงผลและตัวกรองการจับภาพอื่น ๆ ตัวกรองการแสดงผลมีประโยชน์สำหรับการค้นหาปริมาณการใช้งานเฉพาะเพื่อการแสดงผลเท่านั้น มันเหมือนคุณสนใจ trafic ทั้งหมด แต่สำหรับตอนนี้คุณแค่อยากเห็นเฉพาะ

แต่ถ้าคุณสนใจในปริมาณการใช้ข้อมูลที่แน่นอนและไม่สนใจเรื่องอื่น ๆ เลยให้ใช้ตัวกรองการจับภาพ

ไวยากรณ์สำหรับตัวกรองการแสดงผลคือ (ดังกล่าวก่อนหน้า)

ip.addr = x.x.x.x หรือ ip.src = x.x.x.x หรือ ip.dst = x.x.x.x

แต่ไวยากรณ์ข้างต้นจะไม่ทำงานในตัวกรองการจับภาพต่อไปนี้เป็นตัวกรอง

โฮสต์ xxxx

ดูตัวอย่างเพิ่มเติมในหน้า wireshark wiki

— Mubashar
แหล่งที่มา

ฉันใช้เวลานานมากในการทำความคุ้นเคย นอกจากนี้ยังให้คำแนะนำเพียงครึ่งเดียวที่คุณไม่สามารถหาได้ซึ่งเป็นอุปสรรคต่อการเข้ามา :(

— Nanban Jim

2

เหตุผลที่ตัวกรองการจับภาพใช้ไวยากรณ์ที่แตกต่างกันคือมันกำลังมองหานิพจน์การกรอง pcap ซึ่งมันส่งผ่านไปยังไลบรารี libpcap ที่อยู่ภายใต้ Libpcap เกิดจาก tcpdump ด้วยความเข้าใจอันมากมายของ Wireshark เกี่ยวกับโปรโตคอลจึงจำเป็นต้องใช้ภาษาที่มีการแสดงออกที่หลากหลายยิ่งขึ้นดังนั้นจึงเกิดขึ้นกับภาษาของตัวเอง

— Jim Hoagland

1

ในการใช้งานของเราเราต้องจับภาพด้วยโฮสต์ xxxx หรือ (vlan และโฮสต์ xxxx)

อะไรที่น้อยกว่าจะไม่ถูกจับ? ฉันไม่แน่ใจว่าทำไม แต่นั่นคือวิธีการทำงาน!

— เจอร์รี่
แหล่งที่มา

เนื่องจาก 1) ตัวกรอง libpcap / WinPcap (การกรองการจับภาพ Wireshark ทำโดย libpcap / WinPcap) มีความสามารถ จำกัด และไม่ตรวจสอบทั้งแพ็คเก็ต VLAN ที่ห่อหุ้มและไม่ใช่ VLAN และ 2) เครือข่ายของคุณใช้ VLANs โชคร้าย แต่นั่นเป็นกรณี

-2

คำตอบอื่น ๆ ครอบคลุมวิธีการกรองตามที่อยู่แล้ว แต่หากคุณต้องการยกเว้นการใช้ที่อยู่

ip.addr < 192.168.0.11

— tw0z
แหล่งที่มา