Como filtrar por endereço IP no Wireshark?

291

Eu tentei, dst==192.168.1.101mas só consigo:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101
wireshark Alan
fonte

Respostas:

534

Destino da correspondência: ip.dst == x.x.x.x

Fonte da correspondência: ip.src == x.x.x.x

Corresponder: ip.addr == x.x.x.x

O Arquetípico Paulo
fonte
ip.hosttenha o mesmo efeito com ip.addr.
Shihe Zhang
40

Filtrando o endereço IP no Wireshark:

(1) filtragem de IP único:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2) filtragem IP múltipla com base em condições lógicas:

OU condição:

(ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

E condição:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)

Rajeev Das
fonte
35

Você também pode limitar o filtro a apenas parte do endereço IP.

EG Para filtrar, 123.*.*.*você pode usar ip.addr == 123.0.0.0/8. Efeitos semelhantes podem ser alcançados com /16e /24.

Consulte as páginas de manual do WireShark (filtros) e procure a notação Classless InterDomain Routing (CIDR) .

... o número após a barra representa o número de bits usados ​​para representar a rede.

OldCurmudgeon
fonte
17

Se você se importa apenas com o tráfego dessa máquina em particular, use um filtro de captura, no qual você pode definir Capture -> Options.

host 192.168.1.101

O Wireshark capturará apenas pacotes enviados ou recebidos por 192.168.1.101. Isso tem o benefício de exigir menos processamento, o que reduz as chances de pacotes importantes serem descartados (perdidos).

reitor
fonte
mr hrmm está desabilitado :(
Shanimal
Vi isso no computador dos meus amigos também. Os filtros de captura podem ter sido movidos para outro local nas versões mais recentes do Wireshark.
Dean
Talvez porque eu estou executando a versão de teste ...> _ <
Shanimal
2
Os filtros de captura só podem ser criados quando a captura é interrompida. Eles precisam ser pré-compilados. Interrompa a captura e o menu "Capturar ... Opções ..." será reativado.
JDW
11

Experimentar

ip.dst == 172.16.3.255
Kevin Tighe
fonte
10

Na verdade, por algum motivo, o wireshark usa dois tipos diferentes de sintaxe de filtro, uma no filtro de exibição e outra no filtro de captura. O filtro de exibição é útil apenas para encontrar determinado tráfego apenas para fins de exibição. é como se você estivesse interessado em todo o tráfego, mas, por enquanto, você só quer ver específicos.

mas se você estiver interessado apenas no tráfego certian e não se importar com outro, use o filtro de captura.

A sintaxe do filtro de exibição é (conforme mencionado anteriormente)

ip.addr = x.x.x.x ou ip.src = x.x.x.x ou ip.dst = x.x.x.x

mas a sintaxe acima não funcionará nos filtros de captura, a seguir estão os filtros

host xxxx

veja mais exemplos na página wiki do wireshark

Mubashar
fonte
Demorei muito tempo para me acostumar. Também fornece metade dos conselhos que você considera irrelevantes, o que é uma barreira à entrada. :(
Nanban Jim
2
O motivo pelo qual o filtro de captura usa uma sintaxe diferente é que ele está procurando uma expressão de filtragem pcap, que é transmitida para a biblioteca libpcap subjacente. O Libpcap teve origem no tcpdump. Com o entendimento mais rico de protocolos do Wireshark, ele precisava de uma linguagem de expressão mais rica, por isso criou sua própria linguagem.
Jim Hoagland
1

em nosso uso, temos que capturar com o host xxxx ou (vlan e host xxxx)

nada menos não vai capturar? Não sei por que, mas é assim que funciona!

Jerry
fonte
Como 1) os filtros libpcap / WinPcap (a filtragem de captura Wireshark é feita pelo libpcap / WinPcap) têm recursos limitados e não verifica os pacotes encapsulados em VLAN e não em VLAN e 2) sua rede usa VLANs. Lamentável, mas é esse o caso.
-2

Outras respostas já abordam como filtrar por um endereço, mas se você deseja excluir um endereço, use

ip.addr < 192.168.0.11

tw0z
fonte