Comment filtrer par adresse IP dans Wireshark?

291

J'ai essayé dst==192.168.1.101mais seulement:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101
wireshark Alan
la source

Réponses:

534

Destination du match: ip.dst == x.x.x.x

Source du match: ip.src == x.x.x.x

Match soit: ip.addr == x.x.x.x

L'Archétype Paul
la source
ip.hostavoir le même effet avec ip.addr.
Shihe Zhang
40

Filtrage de l'adresse IP dans Wireshark:

(1) filtrage IP unique:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2) Filtrage IP multiple basé sur des conditions logiques:

OU condition:

(ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

ET condition:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)

Rajeev Das
la source
35

Vous pouvez également limiter le filtre à une partie seulement de l'adresse IP.

EG Pour filtrer, 123.*.*.*vous pouvez utiliser ip.addr == 123.0.0.0/8. Des effets similaires peuvent être obtenus avec /16et/24 .

Consultez les pages de manuel (filtres) de WireShark et recherchez la notation CIDR (Classless InterDomain Routing) .

... le nombre après la barre oblique représente le nombre de bits utilisés pour représenter le réseau.

OldCurmudgeon
la source
17

Si vous ne vous souciez que du trafic de cette machine particulière, utilisez plutôt un filtre de capture, que vous pouvez définir sous Capture -> Options.

host 192.168.1.101

Wireshark ne capturera que les paquets envoyés ou reçus par 192.168.1.101. Cela a l'avantage de nécessiter moins de traitement, ce qui réduit les risques de perte (de manquement) de paquets importants.

doyen
la source
hrmm mine is disabled :(
Shanimal
J'ai aussi vu ça sur l'ordinateur de mes amis. Les filtres de capture ont peut-être été déplacés ailleurs dans les nouvelles versions de Wireshark.
Dean
Peut-être parce que je
lance
2
Les filtres de capture ne peuvent être créés que lorsque la capture est arrêtée. Ils doivent être précompilés. Arrêtez la capture et l'option "Capture ... Options ..." du menu sera réactivée.
jdw
11

Essayer

ip.dst == 172.16.3.255
Kevin Tighe
la source
10

En fait, pour une raison quelconque, wireShark utilise deux types différents de syntaxe de filtre, l'un sur le filtre d'affichage et l'autre sur le filtre de capture. Le filtre d'affichage n'est utile que pour trouver un certain trafic uniquement à des fins d'affichage. c'est comme si vous êtes intéressé par tout le trafic, mais pour l'instant vous voulez juste voir spécifique.

mais si vous n'êtes intéressé que par le trafic certian et que vous ne vous souciez pas des autres, vous utilisez le filtre de capture.

La syntaxe du filtre d'affichage est (comme mentionné précédemment)

ip.addr = x.x.x.x ou ip.src = x.x.x.x ou ip.dst = x.x.x.x

mais la syntaxe ci-dessus ne fonctionnera pas dans les filtres de capture, voici les filtres

hôte xxxx

voir plus d'exemples sur la page wiki de wirehark

Mubashar
la source
Cela m'a pris beaucoup de temps pour m'y habituer. Cela rend également la moitié des conseils que vous pouvez trouver non pertinents, ce qui constitue un obstacle à l'entrée. :(
Nanban Jim
2
La raison pour laquelle le filtre de capture utilise une syntaxe différente est qu'il recherche une expression de filtrage pcap, qu'il transmet à la bibliothèque libpcap sous-jacente. Libpcap provient de tcpdump. Avec une compréhension plus riche des protocoles de Wireshark, il avait besoin d'un langage d'expression plus riche, donc il est venu avec son propre langage.
Jim Hoagland
1

dans notre utilisation, nous devons capturer avec l'hôte xxxx ou (vlan et l'hôte xxxx)

rien de moins ne capturera pas? Je ne sais pas pourquoi mais c'est comme ça que ça marche!

Jerry
la source
Parce que 1) les filtres libpcap / WinPcap (le filtrage de capture Wireshark est effectué par libpcap / WinPcap) ont des capacités limitées et ne vérifient pas les paquets encapsulés VLAN et non encapsulés VLAN et 2) votre réseau utilise des VLAN. Malheureux, mais c'est le cas.
-2

D'autres réponses couvrent déjà comment filtrer par une adresse, mais si vous souhaitez exclure une utilisation d' adresse

ip.addr < 192.168.0.11

tw0z
la source