Comment filtrer par adresse IP dans Wireshark?

J'ai essayé dst==192.168.1.101, mais seulement obtient :

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101
221
demandé sur Alan 2010-10-28 17:34:27

9 réponses

Destination de correspondance: ip.dst == x.x.x.x

Source de correspondance: ip.src == x.x.x.x

Correspond soit: ip.addr == x.x.x.x

416
répondu The Archetypal Paul 2016-01-24 17:12:34

Vous pouvez également limiter le filtre à une partie seulement de l'adresse ip.

Par exemple pour filtrer 123...* vous pouvez utiliser ip.addr == 123.0.0.0/8. Des effets similaires peuvent être obtenus avec /16 et /24.

Voir pages de manuel WireShark (filtres) et recherchez la notationclassless InterDomain Routing (CIDR) .

... le nombre après la barre représente le nombre de bits utilisés pour représenter le réseau.

27
répondu OldCurmudgeon 2013-11-07 15:54:34

Filtrage de L'adresse IP dans Wireshark:

(1)filtrage IP unique:

Ip.addr= = X. X. X. x

Ip.src= = X. X. X. x

Ip.dst= = X. X. X. x

(2)filtrage IP Multiple basé sur des conditions logiques:

Ou condition:

(pi.src = = 192.168.2.25| / / (ip.dst = = 192.168.2.25)

Et condition:

(pi.src==192.168.2.25) && (pi.dst = = 74.125.236.16)

26
répondu Rajeev Das 2013-05-04 05:40:21

Essayez 

ip.dst == 172.16.3.255
11
répondu Kevin Tighe 2010-10-28 13:38:48

Si vous ne vous souciez que du trafic de cette machine particulière, utilisez plutôt un filtre de capture, que vous pouvez définir sous Capture -> Options. 

host 192.168.1.101

Wireshark ne capture que les paquets envoyés ou reçus par 192.168.1.101. Cela a l'avantage de nécessiter moins de traitement, ce qui réduit les chances que des paquets importants soient abandonnés (manqués).

9
répondu Dean 2012-09-14 02:26:34

En fait, pour une raison quelconque, wireshark utilise deux types différents de syntaxe de filtre, l'un sur le filtre d'affichage et l'autre sur le filtre de capture. Filtre d'affichage est seulement utile pour trouver certaines trafic à des fins d'exposition. c'est comme si vous êtes intéressé par tous les trafic mais pour l'instant vous voulez juste voir spécifique.

Mais si vous n'êtes intéressé que par le trafic certian et que vous ne vous souciez pas des autres, vous utilisez le filtre de capture.

La syntaxe du filtre d'affichage est (comme mentionné plus tôt)

ip.addr = x.x.x.x ou ip.src = x.x.x.x ou ip.dst = x.x.x.x

Mais la syntaxe ci-dessus ne fonctionnera pas dans les filtres de capture, voici les filtres

Hôte x. x. x. x

Voir plus d'exemple sur wireshark page wiki

6
répondu Mubashar Ahmad 2015-03-25 04:59:55

Dans notre utilisation, nous devons capturer avec l'hôte x. x. x. x. ou (vlan et hôte x. x. x. x)

Quelque chose de moins ne sera pas capturer? Je ne sais pas pourquoi mais c'est comme ça que ça marche!

1
répondu Jerry 2014-05-28 12:09:36

Essayez d'écrire dans la chaîne de filtre: IP.dst = = x. x. x. x

-2
répondu Ziegfried 2017-08-29 09:24:46

Et pour filtrer une adresse IP spécifique:

Ip.addr

-2
répondu tw0z 2018-01-30 21:25:00