Wie filtere ich per IP -Adresse in Wireshark?

StackOverflow https://stackoverflow.com/questions/4043406

  •  27-09-2019
  •  | 
  •  

Frage

Ich habe es versucht dst==192.168.1.101 aber nur bekommen:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101
War es hilfreich?

Lösung

Match -Ziel: ip.dst == x.x.x.x

Übereinstimmung Quelle: ip.src == x.x.x.x

Match beides: ip.addr == x.x.x.x

Andere Tipps

Filterung der IP -Adresse in Wireshark:

(1) Einzel -IP -Filterung:

ip.addr == xxxx

ip.src == xxxx

ip.dst == xxxx

(2) Mehrfach IP -Filterung basierend auf logischen Bedingungen:

Oder Bedingung:

(ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

Und Zustand:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)

Sie können den Filter auch auf einen Teil der IP -Adresse einschränken.

ZB filtern 123.*.*.* Sie können verwenden ip.addr == 123.0.0.0/8. Ähnliche Effekte können mit erreicht werden /16 und /24.

Sehen Wireshark Man Pages (Filter) Und suchen Sie nach Klassenlose Interdomain Routing (CIDR) Notation.

... Die Zahl nach dem Schrägstrich repräsentiert die Anzahl der Bits, die zur Darstellung des Netzwerks verwendet werden.

Wenn Sie sich nur um den Datenverkehr dieser Maschine kümmern, verwenden Sie stattdessen einen Erfassungsfilter, unter dem Sie festlegen können Capture -> Options. 

host 192.168.1.101

Wireshark fängt nur ein Paket auf oder empfangen nach oder empfangen von 192.168.1.101. Dies hat den Vorteil, dass weniger Verarbeitung erforderlich ist, was die Wahrscheinlichkeit senkt, dass wichtige Pakete fallen gelassen werden (verpasst).

Versuchen

ip.dst == 172.16.3.255

Tatsächlich verwendet Wireshark aus irgendeinem Grund zwei verschiedene Arten von Filtersyntaxen auf Display -Filter und andere beim Erfassungsfilter. Anzeigefilter ist nur nützlich, um nur für den Anzeigezweck einen bestimmten Datenverkehr zu finden. Es ist, als ob Sie sich für alle Trafic interessieren, aber im Moment möchten Sie nur spezifisch sehen.

Wenn Sie sich jedoch nur für einen zertischen Verkehr interessieren und sich überhaupt nicht um andere interessieren, verwenden Sie den Capture -Filter.

Die Syntax für den Anzeigefilter ist (wie bereits erwähnt)

ip.addr = x.x.x.xoderip.src = x.x.x.xoderip.dst = x.x.x.x

Oben Syntax funktioniert jedoch nicht in Erfassungsfiltern, folgt die Filter

Host XXXX

Weitere Beispiele finden Sie auf Wireshark Wiki Seite

In unserer Verwendung müssen wir mit Host XXXX oder (VLAN und HOST XXXX) erfassen

Etwas weniger wird nicht erfassen? Ich bin mir nicht sicher warum, aber so funktioniert es!

Versuchen Sie, in Filterzeichenfolge zu schreiben: ip.dst == xxxx

Andere Antworten decken bereits ab, wie man mit einer Adresse filtert, aber wenn Sie möchten eine Adresse ausschließen verwenden

ip.addr < 192.168.0.11

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top