如何在Wireshark中通过IP地址进行过滤?

我尝试了dst==192.168.1.101,但只得到:

Neither "dst" nor "192.168.1.101" are field or protocol names.


The following display filter isn't a valid display filter:
dst==192.168.1.101
550458 次浏览
小开

试一试

ip.dst == 172.16.3.255
小开
最佳答案

匹配目标:ip.dst == x.x.x.x

匹配源:ip.src == x.x.x.x

匹配任意一个:ip.addr == x.x.x.x

小开

如果你只关心特定机器的流量,可以使用捕获过滤器,可以在Capture -> Options下设置。

host 192.168.1.101

Wireshark将只捕获发送到或接收到192.168.1.101的数据包。这样做的好处是需要更少的处理,从而降低了重要数据包被丢弃(丢失)的几率。

小开

还可以将筛选器限制为ip地址的一部分。

要过滤123.*.*.*,你可以使用ip.addr == 123.0.0.0/8。类似的效果可以用/16/24实现。

查看WireShark手册页(过滤器)并查找无类域间路由(CIDR)表示

... 斜杠后面的数字表示用于表示网络的比特数。

小开

Wireshark过滤IP地址:

(1)单IP过滤:

ip.addr = = X.X.X.X

ip.src = = X.X.X.X

ip.dst = = X.X.X.X

(2)基于逻辑条件的多IP过滤:

或条件:

(ip.src = = 192.168.2.25) | | (ip.dst = = 192.168.2.25)

和条件:

(ip.src = = 192.168.2.25),,(ip.dst = = 74.125.236.16)

小开

在我们的使用中,我们必须使用主机x.x.x.x或(vlan和主机x.x.x.x)进行捕获。

少了什么就抓不住了?我不知道为什么,但这就是它的工作方式!

小开

实际上,由于某种原因,wireshark使用了两种不同的过滤器语法,一种是显示过滤器,另一种是捕获过滤器。显示过滤器仅用于查找仅用于显示目的的特定流量。这就像你对所有的流量感兴趣,但现在你只想看到具体的。

但是,如果您只对某些流量感兴趣,而对其他流量完全不关心,那么您可以使用捕获过滤器。

显示筛选器的语法是(如前所述)

< p > ip.addr = x.x.x.xip.src = x.x.x.xip.dst = x.x.x.x < / p >

但是上面的语法在捕获过滤器中不起作用,下面是过滤器

主机x.x.x.x

参见Wireshark wiki页面上的更多示例

小开

其他答案已经涵盖了如何通过地址过滤,但如果你想使用排除地址

ip.addr < 192.168.0.11


提交答案