Wireshark'ta IP adresine göre nasıl filtrelenir?


291

Denedim dst==192.168.1.101ama sadece olsun:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101

Yanıtlar:


534

Maç hedefi: ip.dst == x.x.x.x

Eşleşme kaynağı: ip.src == x.x.x.x

İkisinden biri ile eşleştirin: ip.addr == x.x.x.x


ip.hostile aynı etkiye sahiptir ip.addr.
Shihe Zhang

40

Wireshark'ta IP Adresini Filtreleme:

(1) tek IP filtreleme:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2) Mantıksal koşullara dayalı çoklu IP filtreleme:

VEYA koşulu:

(İp.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

VE koşulu:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)


35

Filtreyi ip adresinin yalnızca bir bölümü ile de sınırlayabilirsiniz.

EG Filtrelemek 123.*.*.*için kullanabilirsiniz ip.addr == 123.0.0.0/8. Benzer etkiler /16ve ile de elde edilebilir /24.

Bkz WireShark adam sayfalar (filtreler) ve için göz Sınıfsız Interdomain Yönlendirme (CIDR) gösterimi .

... eğik çizgiden sonraki sayı ağı temsil etmek için kullanılan bit sayısını temsil eder.


17

Yalnızca söz konusu makinenin trafiğini önemsiyorsanız, altında ayarlayabileceğiniz bir yakalama filtresi kullanın Capture -> Options.

host 192.168.1.101

Wireshark yalnızca tarafından gönderilen veya alınan paketi yakalar 192.168.1.101. Bunun, önemli paketlerin düşürülme (kaçırılma) olasılığını azaltan daha az işlem gerektirme avantajı vardır.


hrmm mayını devre dışı bırakıldı :(
Shanimal

Bunu arkadaşlarımın bilgisayarında da gördüm. Yakalama filtreleri Wireshark'ın daha yeni sürümlerinde başka bir yere taşınmış olabilir.
Dean

Belki deneme sürümünü çalıştırdığım için ...> _ <
Shanimal

2
Yakalama filtreleri yalnızca yakalama durdurulduğunda oluşturulabilir. Önceden derlenmiş olmaları gerekir. Çekimi durdurun ve "Yakala ... Seçenekler ..." menüsü yeniden etkinleştirilecektir.
jdw


10

Aslında bir sebepten dolayı wireshark biri ekran filtresinde diğeri de yakalama filtresinde olmak üzere iki farklı filtre sözdizimi kullanır. Görüntü filtresi yalnızca belirli görüntüleme trafiğini yalnızca görüntüleme amacıyla bulmak için kullanışlıdır. tüm trafikle ilgileniyormuşsunuz gibi ancak şimdilik sadece belirli bir şey görmek istiyorsunuz.

ancak yalnızca trafikle ilgileniyorsanız ve diğerlerini umursamıyorsanız, yakalama filtresini kullanırsınız.

Görüntü filtresi sözdizimi (daha önce belirtildiği gibi)

ip.addr = x.x.x.x veya ip.src = x.x.x.x veya ip.dst = x.x.x.x

ancak yukarıdaki sözdizimi yakalama filtrelerinde çalışmaz, aşağıdaki filtreler

ev sahibi xxxx

wireshark wiki sayfasında daha fazla örneğe bakın


Alışmak çok uzun sürdü. Ayrıca, giriş için bir engel olan alakasız bulabileceğiniz tavsiyelerin yarısını yapar. :(
Nanban Jim

2
Yakalama filtresinin farklı bir sözdizimi kullanmasının nedeni, temel libpcap kitaplığına ilettiği bir pcap filtreleme ifadesi aramasıdır. Libpcap tcpdump kaynaklıdır. Wireshark'ın daha zengin protokol anlayışı ile daha zengin bir ifade diline ihtiyaç duyuyordu, bu yüzden kendi dili ile geldi.
Jim Hoagland

1

kullanımımızda host xxxx veya (vlan ve host xxxx) ile yakalamak zorundayız

daha az bir şey yakalamayacak mı? Neden olduğundan emin değilim ama bu şekilde çalışıyor!


1) libpcap / WinPcap filtreleri (Wireshark yakalama filtrelemesi libpcap / WinPcap tarafından yapıldığından) sınırlı özelliklere sahip olduğundan ve hem VLAN kapsüllü hem de VLAN kapsüllü olmayan paketleri kontrol etmediğinden ve 2) ağınızda VLAN kullanılıyor. Talihsiz, ama durum böyle.

-2

Diğer yanıtlar zaten bir adrese göre nasıl filtreleneceğini kapsar, ancak bir adres kullanımını hariç tutmak istiyorsanız

ip.addr < 192.168.0.11

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.