Wireshark'ta IP adresine göre nasıl filtrelenir?

291

Denedim dst==192.168.1.101ama sadece olsun:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101

wireshark

— Alan
kaynak

534

Maç hedefi: ip.dst == x.x.x.x

Eşleşme kaynağı: ip.src == x.x.x.x

İkisinden biri ile eşleştirin: ip.addr == x.x.x.x

— Arketipik Paul
kaynak

ip.hostile aynı etkiye sahiptir ip.addr.

— Shihe Zhang

40

Wireshark'ta IP Adresini Filtreleme:

(1) tek IP filtreleme:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2) Mantıksal koşullara dayalı çoklu IP filtreleme:

VEYA koşulu:

(İp.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

VE koşulu:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)

— Rajeev Das
kaynak

35

Filtreyi ip adresinin yalnızca bir bölümü ile de sınırlayabilirsiniz.

EG Filtrelemek 123.*.*.*için kullanabilirsiniz ip.addr == 123.0.0.0/8. Benzer etkiler /16ve ile de elde edilebilir /24.

Bkz WireShark adam sayfalar (filtreler) ve için göz Sınıfsız Interdomain Yönlendirme (CIDR) gösterimi .

... eğik çizgiden sonraki sayı ağı temsil etmek için kullanılan bit sayısını temsil eder.

— OldCurmudgeon
kaynak

17

Yalnızca söz konusu makinenin trafiğini önemsiyorsanız, altında ayarlayabileceğiniz bir yakalama filtresi kullanın Capture -> Options.

host 192.168.1.101

Wireshark yalnızca tarafından gönderilen veya alınan paketi yakalar 192.168.1.101. Bunun, önemli paketlerin düşürülme (kaçırılma) olasılığını azaltan daha az işlem gerektirme avantajı vardır.

— dekan
kaynak

hrmm mayını devre dışı bırakıldı :(

— Shanimal

Bunu arkadaşlarımın bilgisayarında da gördüm. Yakalama filtreleri Wireshark'ın daha yeni sürümlerinde başka bir yere taşınmış olabilir.

— Dean

Belki deneme sürümünü çalıştırdığım için ...> _ <

— Shanimal

2

Yakalama filtreleri yalnızca yakalama durdurulduğunda oluşturulabilir. Önceden derlenmiş olmaları gerekir. Çekimi durdurun ve "Yakala ... Seçenekler ..." menüsü yeniden etkinleştirilecektir.

— jdw

11

Deneyin

ip.dst == 172.16.3.255

— Kevin Tighe
kaynak

10

Aslında bir sebepten dolayı wireshark biri ekran filtresinde diğeri de yakalama filtresinde olmak üzere iki farklı filtre sözdizimi kullanır. Görüntü filtresi yalnızca belirli görüntüleme trafiğini yalnızca görüntüleme amacıyla bulmak için kullanışlıdır. tüm trafikle ilgileniyormuşsunuz gibi ancak şimdilik sadece belirli bir şey görmek istiyorsunuz.

ancak yalnızca trafikle ilgileniyorsanız ve diğerlerini umursamıyorsanız, yakalama filtresini kullanırsınız.

Görüntü filtresi sözdizimi (daha önce belirtildiği gibi)

ip.addr = x.x.x.x veya ip.src = x.x.x.x veya ip.dst = x.x.x.x

ancak yukarıdaki sözdizimi yakalama filtrelerinde çalışmaz, aşağıdaki filtreler

ev sahibi xxxx

wireshark wiki sayfasında daha fazla örneğe bakın

— Mubashar
kaynak

Alışmak çok uzun sürdü. Ayrıca, giriş için bir engel olan alakasız bulabileceğiniz tavsiyelerin yarısını yapar. :(

— Nanban Jim

2

Yakalama filtresinin farklı bir sözdizimi kullanmasının nedeni, temel libpcap kitaplığına ilettiği bir pcap filtreleme ifadesi aramasıdır. Libpcap tcpdump kaynaklıdır. Wireshark'ın daha zengin protokol anlayışı ile daha zengin bir ifade diline ihtiyaç duyuyordu, bu yüzden kendi dili ile geldi.

— Jim Hoagland

1

kullanımımızda host xxxx veya (vlan ve host xxxx) ile yakalamak zorundayız

daha az bir şey yakalamayacak mı? Neden olduğundan emin değilim ama bu şekilde çalışıyor!

— Jerry
kaynak

1) libpcap / WinPcap filtreleri (Wireshark yakalama filtrelemesi libpcap / WinPcap tarafından yapıldığından) sınırlı özelliklere sahip olduğundan ve hem VLAN kapsüllü hem de VLAN kapsüllü olmayan paketleri kontrol etmediğinden ve 2) ağınızda VLAN kullanılıyor. Talihsiz, ama durum böyle.

-2

Diğer yanıtlar zaten bir adrese göre nasıl filtreleneceğini kapsar, ancak bir adres kullanımını hariç tutmak istiyorsanız

ip.addr < 192.168.0.11

— tw0z
kaynak