如何在Wireshark中按IP地址进行过滤？

Question

我试图dst==192.168.1.101但只得到：

Neither "dst" nor "192.168.1.101" are field or protocol names. 

The following display filter isn't a valid display filter: 
dst==192.168.1.101 

Answer 1

匹配目标：ip.dst == x.x.x.x

匹配来源：ip.src == x.x.x.x

比赛之一：ip.addr == x.x.x.x

Answer 2

尝试

ip.dst == 172.16.3.255 

Answer 3

如果您只关心特定机器的流量，请改用捕获过滤器，您可以在Capture -> Options下设置该过滤器。

host 192.168.1.101 

Wireshark将只捕获发送到或接收到192.168.1.101的数据包。这具有需要较少处理的好处，这降低了重要数据包被丢弃（丢失）的机会。

Answer 4

您还可以将过滤器限制为仅部分IP地址。

E.G.要筛选123. 。。*您可以使用ip.addr == 123.0.0.0/8。使用/16和/24可以实现类似的效果。

请参阅WireShark man pages (filters)并寻找无类别域间路由（CIDR）表示法。

...斜线后面的数字表示用于表示网络的位数。

中的Wireshark

Answer 5

过滤IP地址：

（1）单IP过滤：

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

（2）的基础上的逻辑条件的多个IP过滤：

OR条件：

（ip.src == 192.168.2.25）||（ip.dst == 192.168.2.25）

AND条件：

（ip.src == 192.168 .2.25）& &（ip.dst == 74.125.236.16）

Answer 6

在我们的使用中我们必须用主机xxxx捕获或（vlan和主机x.x.x.x）

什么都不会捕获？我不知道为什么，但这是它的工作方式！

Answer 7

实际上由于某种原因，Wireshark使用上显示过滤器两种不同的过滤器语法一个和其他的捕获过滤器。显示过滤器仅用于查找某些流量仅用于显示目的。它就像你对所有交通工具感兴趣，但现在你只想看具体的。

，但如果你有兴趣只在certian流量，不关心其他的都那么你使用捕捉过滤器。

句法显示器用滤波器是（如前所述）

ip.addr = x.x.x.x 或 ip.src = x.x.x.x 或 ip.dst = x.x.x.x

但上述语法将不会在捕集过滤器的工作，下面是滤波器

主机XXXX

看到更多的例子wireshark wiki page

Answer 8

尝试在过滤字符串写出来： ip.dst == XXXX

Answer 9

，并筛选出特定的IP地址：

ip.addr < 192.168.0.11