如何在Wireshark中按IP地址进行过滤?

我试过dst==192.168.1.101但只得到: 

 Neither "dst" nor "192.168.1.101" are field or protocol names. The following display filter isn't a valid display filter: dst==192.168.1.101

匹配目标: ip.dst == xxxx

匹配来源: ip.src == xxxx

匹配: ip.addr == xxxx

您也可以将filter限制为仅部分IP地址。

EG要过滤123 *你可以使用ip.addr == 123.0.0.0/8 。 用/16/24可以达到类似的效果。

请参阅WireShark手册页(filter)并查找无类别域间路由(CIDR)表示法

…斜杠后面的数字表示用于表示networking的位数。

在Wireshark中过滤IP地址:

(1)单一IP过滤:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2)基于逻辑条件的多个IP过滤:

OR条件:

(ip.src == 192.168.2.25)||(ip.dst == 192.168.2.25)

AND条件:

(ip.src == 192.168.2.25)&&(ip.dst == 74.125.236.16)

尝试 

 ip.dst == 172.16.3.255

如果您只关心特定机器的stream量,请使用捕获filter,您可以在Capture -> Options下进行设置。 

 host 192.168.1.101

Wireshark将只捕获发送到192.168.1.101或接收的数据包。 这具有需要较less处理的好处,这降低了重要数据包被丢弃(丢失)的机会。

实际上由于某些原因,wireshark在显示filter和捕获filter上使用了两种不同types的filter语法。 显示filter仅用于查找某些仅用于显示目的的stream量。 它就像你对所有的交通工具感兴趣,但现在你只是想看到具体的。

但是如果您只对certianstream量感兴趣而根本不关心其他stream量,则可以使用捕获filter。

显示filter的语法是(如前所述)

ip.addr = xxxxip.src = xxxxip.dst = xxxx

但上面的语法不能在捕获filter中工作,以下是filter

主机xxxx

在wireshark wiki页面上看到更多的例子

在我们的使用中,我们必须捕捉主机xxxx或(vlan和主机xxxx)

更less的东西不会捕获? 我不知道为什么,但这是它的工作方式!

尝试在filterstring中写出:ip.dst == xxxx

    Interesting Posts

    Wireshark本地主机stream量捕获

    以wireshark保存显示/过滤的数据包

    在Wireshark中按进程/ PID进行过滤

    通过wireshark捕获手机stream量

    你如何监测iPhone上的networkingstream量?

    通过brew在MacOS X上安装Wireshark

    如何监视所有传入的http请求?

    Wireshark vs Firebug vs Fiddler – 优点和缺点?

    如何清除Wireshark中的捕获窗口?

    监控Android手机中的networking活动