Wie filtere ich in Wireshark nach IP-Adresse?

291

Ich habe es versucht, dst==192.168.1.101aber nur bekommen:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101
wireshark Alan
quelle

Antworten:

534

Spielziel: ip.dst == x.x.x.x

Übereinstimmungsquelle: ip.src == x.x.x.x

Spiel entweder: ip.addr == x.x.x.x

Der archetypische Paulus
quelle
ip.hosthaben den gleichen Effekt mit ip.addr.
Shihe Zhang
40

Filtern der IP-Adresse in Wireshark:

(1) Einzel-IP-Filterung:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2) Mehrfache IP-Filterung basierend auf logischen Bedingungen:

ODER Bedingung:

(ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

UND Bedingung:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)

Rajeev Das
quelle
35

Sie können den Filter auch auf nur einen Teil der IP-Adresse beschränken.

EG Zum Filtern können 123.*.*.*Sie verwenden ip.addr == 123.0.0.0/8. Ähnliche Effekte können mit /16und erzielt werden /24.

Lesen Sie die WireShark-Manpages (Filter) und suchen Sie nach der CIDR-Notation (Classless InterDomain Routing) .

... die Zahl nach dem Schrägstrich die Anzahl der Bits darstellt, die zur Darstellung des Netzwerks verwendet werden.

OldCurmudgeon
quelle
17

Wenn Sie sich nur um den Datenverkehr dieses bestimmten Computers kümmern, verwenden Sie stattdessen einen Erfassungsfilter, den Sie unter festlegen können Capture -> Options.

host 192.168.1.101

Wireshark erfasst nur Pakete, die an gesendet oder von empfangen werden 192.168.1.101. Dies hat den Vorteil, dass weniger Verarbeitung erforderlich ist, was die Wahrscheinlichkeit verringert, dass wichtige Pakete verworfen (verpasst) werden.

Dean
quelle
hrmm meins ist deaktiviert :(
Shanimal
Das habe ich auch auf dem Computer meines Freundes gesehen. Die Erfassungsfilter wurden möglicherweise in den neueren Versionen von Wireshark an eine andere Stelle verschoben.
Dean
Vielleicht, weil ich die Testversion laufen
lasse
2
Erfassungsfilter können nur erstellt werden, wenn die Erfassung gestoppt ist. Sie müssen vorkompiliert werden. Stoppen Sie die Aufnahme und die Menüoption "Aufnahme ... Optionen ..." wird wieder aktiviert.
JDW
11

Versuchen

ip.dst == 172.16.3.255
Kevin Tighe
quelle
10

Aus irgendeinem Grund verwendet wireshark zwei verschiedene Arten von Filtersyntax, eine für den Anzeigefilter und eine für den Erfassungsfilter. Der Anzeigefilter ist nur nützlich, um bestimmten Datenverkehr nur zu Anzeigezwecken zu finden. Es ist so, als ob Sie an allem Verkehr interessiert sind, aber im Moment möchten Sie nur bestimmte sehen.

Wenn Sie sich jedoch nur für den Certian-Verkehr interessieren und sich überhaupt nicht um andere kümmern, verwenden Sie den Erfassungsfilter.

Die Syntax für den Anzeigefilter lautet (wie bereits erwähnt)

ip.addr = x.x.x.x oder ip.src = x.x.x.x oder ip.dst = x.x.x.x

Die obige Syntax funktioniert jedoch nicht in Erfassungsfiltern. Nachfolgend sind die Filter aufgeführt

Host xxxx

Weitere Beispiele finden Sie auf der Wireshark-Wiki-Seite

Mubashar
quelle
Ich habe sehr lange gebraucht, um mich daran zu gewöhnen. Es macht auch die Hälfte der Ratschläge, die Sie finden können, irrelevant, was eine Eintrittsbarriere darstellt. :(
Nanban Jim
2
Der Grund, warum der Erfassungsfilter eine andere Syntax verwendet, besteht darin, dass er nach einem pcap-Filterausdruck sucht, den er an die untergeordnete libpcap-Bibliothek übergibt. Libpcap entstand aus tcpdump. Mit Wiresharks umfassenderem Verständnis der Protokolle benötigte es eine umfassendere Ausdruckssprache, sodass es eine eigene Sprache entwickelte.
Jim Hoagland
1

Bei unserer Verwendung müssen wir mit Host xxxx oder (vlan und Host xxxx) erfassen.

etwas weniger wird nicht erfassen? Ich bin mir nicht sicher warum, aber so funktioniert es!

Jerry
quelle
Da 1) libpcap / WinPcap-Filter (Wireshark-Capture-Filterung erfolgt durch libpcap / WinPcap) nur über eingeschränkte Funktionen verfügen und nicht nach VLAN-gekapselten und nicht VLAN-gekapselten Paketen suchen und 2) Ihr Netzwerk VLANs verwendet. Schade, aber das ist der Fall.
-2

Weitere Antworten bereits behandelt , wie durch eine Adresse zu filtern, aber wenn Sie möchten , eine Adresse ausschließen Verwendung

ip.addr < 192.168.0.11

tw0z
quelle