Bagaimana cara memfilter berdasarkan alamat IP di Wireshark?


291

Saya mencoba dst==192.168.1.101tetapi hanya mendapatkan:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101

Jawaban:


534

Tujuan pertandingan: ip.dst == x.x.x.x

Sumber pencocokan: ip.src == x.x.x.x

Cocok dengan: ip.addr == x.x.x.x


ip.hostmemiliki efek yang sama dengan ip.addr.
Shihe Zhang

40

Memfilter Alamat IP di Wireshark:

(1) penyaringan IP tunggal:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2) Pemfilteran beberapa IP berdasarkan kondisi logis:

ATAU kondisi:

(ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

DAN kondisi:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)


35

Anda juga dapat membatasi filter hanya pada sebagian dari alamat ip.

EG Untuk memfilter 123.*.*.*Anda dapat menggunakan ip.addr == 123.0.0.0/8. Efek serupa dapat dicapai dengan /16dan /24.

Lihat halaman manual WireShark (filter) dan cari notasi Routing InterDomain Tanpa Kelas (CIDR) .

... nomor setelah slash mewakili jumlah bit yang digunakan untuk mewakili jaringan.


17

Jika Anda hanya peduli dengan lalu lintas mesin tertentu itu, gunakan filter tangkap, yang dapat Anda setel di bawah Capture -> Options.

host 192.168.1.101

Wireshark hanya akan menangkap paket yang dikirim atau diterima oleh 192.168.1.101. Ini memiliki keuntungan karena membutuhkan lebih sedikit pemrosesan, yang menurunkan kemungkinan paket-paket penting dijatuhkan (terlewatkan).


hrmm milikku dinonaktifkan :(
Shanimal

Saya melihat itu di komputer teman saya juga. Filter penangkapan mungkin telah dipindahkan ke tempat lain di versi Wireshark yang lebih baru.
Dean

Mungkin karena saya menjalankan versi percobaan ...> _ <
Shanimal

2
Filter pengambilan hanya dapat dibangun ketika penangkapan dihentikan. Mereka harus dikompilasi sebelumnya. Hentikan penangkapan dan menu "Tangkap ... Opsi ..." akan diaktifkan kembali.
jdw


10

Sebenarnya untuk beberapa alasan wireshark menggunakan dua jenis sintaksis filter yang berbeda pada filter tampilan dan lainnya pada filter tangkap. Filter tampilan hanya berguna untuk menemukan lalu lintas tertentu hanya untuk tujuan tampilan saja. itu seperti Anda tertarik pada semua lalu lintas tetapi untuk saat ini Anda hanya ingin melihat spesifik.

tetapi jika Anda hanya tertarik pada lalu lintas certian dan tidak peduli sama sekali maka Anda menggunakan filter tangkap.

Sintaks untuk filter tampilan adalah (seperti yang disebutkan sebelumnya)

ip.addr = x.x.x.x atau ip.src = x.x.x.x atau ip.dst = x.x.x.x

tetapi sintaks di atas tidak akan berfungsi dalam filter tangkap, berikut adalah filternya

host xxxx

lihat lebih banyak contoh di halaman wireshark wiki


Ini memakan waktu lama untuk membiasakan diri. Itu juga membuat separuh saran yang Anda temukan tidak relevan, yang merupakan penghalang untuk masuk. :(
Nanban Jim

2
Alasan filter tangkap menggunakan sintaks yang berbeda adalah karena mencari ekspresi penyaringan pcap, yang diteruskan ke pustaka libpcap bawahan. Libpcap berasal dari tcpdump. Dengan pemahaman protokol yang lebih kaya tentang Wireshark, ia membutuhkan bahasa ekspresi yang lebih kaya, sehingga ia muncul dengan bahasanya sendiri.
Jim Hoagland

1

dalam penggunaan kami, kami harus menangkap dengan host xxxx atau (vlan dan host xxxx)

sesuatu yang kurang tidak akan ditangkap? Saya tidak yakin mengapa tetapi itu cara kerjanya!


Karena 1) filter libpcap / WinPcap (Wireshark capture filtering dilakukan oleh libpcap / WinPcap) memiliki kemampuan terbatas dan tidak memeriksa paket yang dienkapsulasi VLAN dan non-VLAN dan 2) jaringan Anda menggunakan VLAN. Sayangnya, tapi itu masalahnya.

-2

Jawaban lain sudah mencakup cara memfilter menurut alamat, tetapi jika Anda ingin mengecualikan penggunaan alamat

ip.addr < 192.168.0.11

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.