Wireshark中如何按IP地址过滤？

Question

我尝试了 dst==192.168.1.101 但只得到：

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101

Answer 1

匹配目的地：ip.dst == xxxx

匹配源：ip.src == xxxx

匹配其中之一：ip.addr == xxxx

Answer 2

Wireshark 中过滤 IP 地址：

(1)单个 IP 过滤：

ip.addr==XXXX

ip.src==XXXX

ip.dst==XXXX

(2)基于逻辑条件的多个 IP 过滤：

OR 条件：

(ip.src= =192.168.2.25)||(ip.dst==192.168.2.25)

AND 条件:

(ip.src==192.168.2.25) && (ip.dst==74.125.236.16)

Answer 3

您还可以将过滤器限制为仅部分 IP 地址。

EG 要过滤123.*.*.*，您可以使用ip.addr == 123.0.0.0/8。使用 /16 和 /24 也可以实现类似的效果。

请参阅 WireShark 手册页（过滤器） 并查找无类域间路由 (CIDR) 表示法。

...斜杠后面的数字代表用于表示网络的位数。

Answer 4

如果您只关心该特定计算机的流量，请改用捕获过滤器，您可以在捕获 -> 下设置它。选项。

host 192.168.1.101

Wireshark 只会捕获发送到 192.168.1.101 或由 192.168.1.101 接收的数据包。这样做的好处是需要较少的处理，从而降低了重要数据包被丢弃（丢失）的可能性。

Answer 5

尝试

ip.dst == 172.16.3.255

Answer 6

实际上，出于某种原因，wireshark 使用两种不同类型的过滤器语法，一种用于显示过滤器，另一种用于捕获过滤器。显示过滤器仅用于查找某些仅用于显示目的的流量。就好像您对所有流量感兴趣，但现在您只想查看具体流量。

但是如果您只对某些流量感兴趣并且根本不关心其他流量，那么您可以使用捕获过滤器。

显示过滤器的语法是（如前所述）

ip.addr = xxxx
或者
ip.src = xxxx
或者
ip.dst = xxxx

但上述语法在捕获过滤器中不起作用，以下是过滤器

主机 xxxx，

请参阅 wireshark 维基页面

Answer 7

在我们的使用中，我们必须使用主机 xxxx 或（vlan 和主机 xxxx）进行捕获，

否则将无法捕获？我不知道为什么，但这就是它的工作原理！

Answer 8

其他答案已经介绍了如何按地址过滤，但如果您想排除地址，请使用

ip.addr < 192.168.0.11