Como filtrar por endereço IP no Wireshark?

291

Eu tentei, dst==192.168.1.101mas só consigo:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101

wireshark

— Alan
fonte

534

Destino da correspondência: ip.dst == x.x.x.x

Fonte da correspondência: ip.src == x.x.x.x

Corresponder: ip.addr == x.x.x.x

— O Arquetípico Paulo
fonte

ip.hosttenha o mesmo efeito com ip.addr.

— Shihe Zhang

40

Filtrando o endereço IP no Wireshark:

(1) filtragem de IP único:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2) filtragem IP múltipla com base em condições lógicas:

OU condição:

(ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

E condição:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)

— Rajeev Das
fonte

35

Você também pode limitar o filtro a apenas parte do endereço IP.

EG Para filtrar, 123.*.*.*você pode usar ip.addr == 123.0.0.0/8. Efeitos semelhantes podem ser alcançados com /16e /24.

Consulte as páginas de manual do WireShark (filtros) e procure a notação Classless InterDomain Routing (CIDR) .

... o número após a barra representa o número de bits usados para representar a rede.

— OldCurmudgeon
fonte

17

Se você se importa apenas com o tráfego dessa máquina em particular, use um filtro de captura, no qual você pode definir Capture -> Options.

host 192.168.1.101

O Wireshark capturará apenas pacotes enviados ou recebidos por 192.168.1.101. Isso tem o benefício de exigir menos processamento, o que reduz as chances de pacotes importantes serem descartados (perdidos).

— reitor
fonte

mr hrmm está desabilitado :(

— Shanimal

Vi isso no computador dos meus amigos também. Os filtros de captura podem ter sido movidos para outro local nas versões mais recentes do Wireshark.

— Dean

Talvez porque eu estou executando a versão de teste ...> _ <

— Shanimal

2

Os filtros de captura só podem ser criados quando a captura é interrompida. Eles precisam ser pré-compilados. Interrompa a captura e o menu "Capturar ... Opções ..." será reativado.

— JDW

11

Experimentar

ip.dst == 172.16.3.255

— Kevin Tighe
fonte

10

Na verdade, por algum motivo, o wireshark usa dois tipos diferentes de sintaxe de filtro, uma no filtro de exibição e outra no filtro de captura. O filtro de exibição é útil apenas para encontrar determinado tráfego apenas para fins de exibição. é como se você estivesse interessado em todo o tráfego, mas, por enquanto, você só quer ver específicos.

mas se você estiver interessado apenas no tráfego certian e não se importar com outro, use o filtro de captura.

A sintaxe do filtro de exibição é (conforme mencionado anteriormente)

ip.addr = x.x.x.x ou ip.src = x.x.x.x ou ip.dst = x.x.x.x

mas a sintaxe acima não funcionará nos filtros de captura, a seguir estão os filtros

host xxxx

veja mais exemplos na página wiki do wireshark

— Mubashar
fonte

Demorei muito tempo para me acostumar. Também fornece metade dos conselhos que você considera irrelevantes, o que é uma barreira à entrada. :(

— Nanban Jim

2

O motivo pelo qual o filtro de captura usa uma sintaxe diferente é que ele está procurando uma expressão de filtragem pcap, que é transmitida para a biblioteca libpcap subjacente. O Libpcap teve origem no tcpdump. Com o entendimento mais rico de protocolos do Wireshark, ele precisava de uma linguagem de expressão mais rica, por isso criou sua própria linguagem.

— Jim Hoagland

1

em nosso uso, temos que capturar com o host xxxx ou (vlan e host xxxx)

nada menos não vai capturar? Não sei por que, mas é assim que funciona!

— Jerry
fonte

Como 1) os filtros libpcap / WinPcap (a filtragem de captura Wireshark é feita pelo libpcap / WinPcap) têm recursos limitados e não verifica os pacotes encapsulados em VLAN e não em VLAN e 2) sua rede usa VLANs. Lamentável, mas é esse o caso.

-2

Outras respostas já abordam como filtrar por um endereço, mas se você deseja excluir um endereço, use

ip.addr < 192.168.0.11

— tw0z
fonte