Come filtrare per indirizzo IP in Wireshark?

291

Ho provato dst==192.168.1.101ma ottengo solo:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101

wireshark

— Alan
fonte

534

Destinazione partita: ip.dst == x.x.x.x

Fonte partita: ip.src == x.x.x.x

Abbina: ip.addr == x.x.x.x

— L'archetipo Paolo
fonte

ip.hostavere lo stesso effetto con ip.addr.

— Shihe Zhang,

40

Filtro dell'indirizzo IP in Wireshark:

(1) filtro IP singolo:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2) Filtro IP multiplo basato su condizioni logiche:

O condizione:

(Ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

E condizione:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)

— Rajeev Das
fonte

35

Puoi anche limitare il filtro solo a una parte dell'indirizzo IP.

Ad esempio, per filtrare 123.*.*.*è possibile utilizzare ip.addr == 123.0.0.0/8. Effetti simili possono essere raggiunti con /16e/24 .

Vedi le pagine man di WireShark (filtri) e cerca la notazione Classless InterDomain Routing (CIDR) .

... il numero dopo la barra rappresenta il numero di bit utilizzati per rappresentare la rete.

— OldCurmudgeon
fonte

17

Se ti interessa solo il traffico di quella particolare macchina, utilizza invece un filtro di acquisizione, che puoi impostare in Capture -> Options.

host 192.168.1.101

Wireshark acquisirà solo i pacchetti inviati o ricevuti da 192.168.1.101. Ciò ha il vantaggio di richiedere una minore elaborazione, il che riduce le possibilità che vengano rilasciati (persi) pacchetti importanti.

— Decano
fonte

la mia miniera è disabilitata :(

— Shanimal,

L'ho visto anche sul computer dei miei amici. I filtri di acquisizione potrebbero essere stati spostati altrove nelle versioni più recenti di Wireshark.

— Decano il

Forse perché sto eseguendo la versione di prova ...> _ <

— Shanimal,

2

I filtri di acquisizione possono essere creati solo quando l'acquisizione è interrotta. Devono essere precompilati. Interrompi l'acquisizione e verrà riattivata l'opzione di menu "Acquisisci ... Opzioni ...".

— jdw,

11

Provare

ip.dst == 172.16.3.255

— Kevin Tighe
fonte

10

In realtà, per qualche motivo, WireShark utilizza due diversi tipi di sintassi del filtro, uno sul filtro di visualizzazione e l'altro sul filtro di acquisizione. Il filtro di visualizzazione è utile solo per trovare un determinato traffico solo a scopo di visualizzazione. è come se fossi interessato a tutto il traffico, ma per ora vuoi solo vedere specifici.

ma se sei interessato solo al traffico di Certian e non ti interessa affatto degli altri, allora usi il filtro di acquisizione.

La sintassi per il filtro di visualizzazione è (come menzionato in precedenza)

ip.addr = x.x.x.x o ip.src = x.x.x.x oppure ip.dst = x.x.x.x

ma sopra la sintassi non funzionerà nei filtri di acquisizione, di seguito sono riportati i filtri

host xxxx

vedi più esempio sulla pagina wiki di WireShark

— Mubashar
fonte

Mi ci è voluto molto tempo per abituarmi. Inoltre, la metà dei consigli che trovi irrilevanti costituisce un ostacolo all'ingresso. :(

— Nanban Jim,

2

Il motivo per cui il filtro di acquisizione utilizza una sintassi diversa è che sta cercando un'espressione di filtro pcap, che passa alla libreria libpcap sottostante. Libpcap è nato da tcpdump. Con la più ricca comprensione dei protocolli di Wireshark, aveva bisogno di un linguaggio di espressione più ricco, quindi è uscito con il suo linguaggio.

— Jim Hoagland,

1

nel nostro uso dobbiamo catturare con l'host xxxx o (vlan e host xxxx)

niente di meno non catturerà? Non sono sicuro del perché, ma è così che funziona!

— Jerry
fonte

Poiché 1) i filtri libpcap / WinPcap (il filtro di acquisizione Wireshark viene eseguito da libpcap / WinPcap) hanno funzionalità limitate e non controllano sia i pacchetti incapsulati VLAN che quelli non incapsulati VLAN e 2) la rete utilizza VLAN. Sfortunato, ma è così.

-2

Altre risposte riguardano già come filtrare per indirizzo, ma se si desidera escludere un indirizzo, utilizzare

ip.addr < 192.168.0.11

— tw0z
fonte