我试过dst==192.168.1.101但只得到:
Neither "dst" nor "192.168.1.101" are field or protocol names.
The following display filter isn't a valid display filter:
dst==192.168.1.101
问问题
545862 次
8 回答
539
匹配目的地:ip.dst == x.x.x.x
匹配来源:ip.src == x.x.x.x
匹配任一:ip.addr == x.x.x.x
于 2010-10-28T13:59:06.410 回答
42
在 Wireshark 中过滤 IP 地址:
(1)单IP过滤:
ip.addr==XXXX
ip.src==XXXX
ip.dst==XXXX
(2)基于逻辑条件的多重IP过滤:
或条件:
(ip.src==192.168.2.25)||(ip.dst==192.168.2.25)
与条件:
(ip.src==192.168.2.25) && (ip.dst==74.125.236.16)
于 2013-05-04T04:47:27.773 回答
36
您还可以将过滤器限制为仅 IP 地址的一部分。
EG 要过滤123.*.*.*,您可以使用ip.addr == 123.0.0.0/8. /16使用和可以达到类似的效果/24。
请参阅WireShark 手册页(过滤器)并查找Classless InterDomain Routing (CIDR) notation。
...斜线后面的数字代表用于表示网络的位数。
于 2013-03-19T14:21:47.790 回答
17
如果您只关心特定机器的流量,请改用捕获过滤器,您可以在Capture -> Options.
host 192.168.1.101
Wireshark 只会捕获发送到或接收到的数据包192.168.1.101。这样做的好处是需要较少的处理,从而降低了重要数据包被丢弃(丢失)的机会。
于 2012-09-14T02:26:34.047 回答
11
尝试
ip.dst == 172.16.3.255
于 2010-10-28T13:38:48.420 回答
10
实际上,出于某种原因,wireshark 使用两种不同的过滤器语法,一种在显示过滤器上,另一种在捕获过滤器上。显示过滤器仅用于查找某些流量,仅用于显示目的。就像您对所有流量感兴趣,但现在您只想查看具体内容。
但是,如果您只对某些流量感兴趣并且根本不关心其他流量,那么您可以使用捕获过滤器。
显示过滤器的语法是(如前所述)
ip.addr = x.x.x.x
或
ip.src = x.x.x.x
或
ip.dst = x.x.x.x
但以上语法在捕获过滤器中不起作用,以下是过滤器
主机 xxxx
在wireshark wiki页面上查看更多示例
于 2015-03-25T04:59:55.430 回答
1
在我们的使用中,我们必须使用主机 xxxx 或(vlan 和主机 xxxx)来捕获
少什么都不会捕获?我不知道为什么,但这就是它的工作方式!
于 2014-05-28T12:09:36.190 回答
-2
其他答案已经涵盖了如何按地址过滤,但如果您想排除地址使用
ip.addr < 192.168.0.11
于 2018-01-30T21:25:00.607 回答