¿Cómo filtrar por dirección IP en Wireshark?

291

Lo intenté dst==192.168.1.101pero solo obtuve :

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101
wireshark 
Alan
fuente

Respuestas:

40

Filtrado de la dirección IP en Wireshark:

(1) filtrado único de IP:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2) Filtrado de IP múltiple basado en condiciones lógicas:

O condición:

(ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

Y condición:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)

Rajeev Das
fuente
35

También puede limitar el filtro a solo una parte de la dirección IP.

EG Para filtrar 123.*.*.*puedes usar ip.addr == 123.0.0.0/8. Se pueden lograr efectos similares con /16y /24.

Consulte las páginas de manual de WireShark (filtros) y busque la notación de enrutamiento entre dominios sin clase (CIDR) .

... el número después de la barra representa el número de bits utilizados para representar la red.

OldCurmudgeon
fuente
17

Si solo le importa el tráfico de esa máquina en particular, use un filtro de captura en su lugar, que puede configurar en Capture -> Options.

host 192.168.1.101

Wireshark solo capturará paquetes enviados o recibidos por 192.168.1.101. Esto tiene la ventaja de requerir menos procesamiento, lo que reduce las posibilidades de que se pierdan (se pierdan) paquetes importantes.

Decano
fuente
La mina hrmm está desactivada :(
Shanimal
También lo vi en la computadora de mis amigos. Los filtros de captura pueden haberse movido a otro lugar en las versiones más recientes de Wireshark.
Dean
Tal vez porque estoy ejecutando la versión de prueba ...> _ <
Shanimal
2
Los filtros de captura solo se pueden construir cuando se detiene la captura. Tienen que ser precompilados. Detenga la captura y se volverá a habilitar la opción de menú "Capturar ... Opciones ...".
jdw
10

En realidad, por algún motivo, Wirehark utiliza dos tipos diferentes de sintaxis de filtro, uno en el filtro de pantalla y otro en el filtro de captura. El filtro de pantalla solo es útil para encontrar cierto tráfico solo para fines de visualización. es como si estuvieras interesado en todo el tráfico, pero por ahora solo quieres ver algo específico.

pero si solo le interesa el tráfico certian y no se preocupa por otro, utilice el filtro de captura.

La sintaxis para el filtro de visualización es (como se mencionó anteriormente)

ip.addr = x.x.x.x o ip.src = x.x.x.x o ip.dst = x.x.x.x

pero la sintaxis anterior no funcionará en los filtros de captura, los siguientes son los filtros

host xxxx

ver más ejemplos en la página wiki de wireshark

Mubashar
fuente
Esto me llevó mucho tiempo acostumbrarme. También hace que la mitad de los consejos que pueda encontrar sean irrelevantes, lo que es una barrera de entrada. :(
Nanban Jim
2
La razón por la cual el filtro de captura usa una sintaxis diferente es porque está buscando una expresión de filtrado pcap, que pasa a la biblioteca subyacente libpcap. Libpcap se originó en tcpdump. Con la comprensión más rica de Wireshark de los protocolos, necesitaba un lenguaje de expresión más rico, por lo que se le ocurrió su propio lenguaje.
Jim Hoagland el
1

en nuestro uso tenemos que capturar con el host xxxx o (vlan y host xxxx)

nada menos no capturará? ¡No estoy seguro de por qué, pero así es como funciona!

alemán
fuente
Debido a que 1) los filtros libpcap / WinPcap (el filtrado de captura de Wireshark se realiza mediante libpcap / WinPcap) tienen capacidades limitadas y no verifican los paquetes encapsulados y no encapsulados en VLAN y 2) su red usa VLAN. Desafortunado, pero ese es el caso.
-2

Otras respuestas ya cubren cómo filtrar por una dirección, pero si desea excluir una dirección, use

ip.addr < 192.168.0.11

tw0z
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.