我试过了dst==192.168.1.101,但只得到了:
Neither "dst" nor "192.168.1.101" are field or protocol names.
The following display filter isn't a valid display filter:
dst==192.168.1.101
答案 0 :(得分:490)
匹配目标:ip.dst == x.x.x.x
匹配来源:ip.src == x.x.x.x
匹配:ip.addr == x.x.x.x
答案 1 :(得分:33)
在Wireshark中过滤IP地址:
(1)单IP过滤:
ip.addr == X.X.X.X
ip.src == X.X.X.X
ip.dst == X.X.X.X
(2)基于逻辑条件的多IP过滤:
OR条件:
(ip.src == 192.168.2.25)||(ip.dst == 192.168.2.25)
AND条件:
(ip.src == 192.168.2.25)&& (ip.dst == 74.125.236.16)
答案 2 :(得分:30)
您还可以将过滤器限制为仅部分IP地址。
E.G。要过滤123.*.*.*,您可以使用ip.addr == 123.0.0.0/8。使用/16和/24可以实现类似的效果。
请参阅WireShark man pages (filters)并查找无类别域间路由(CIDR)表示法。
...斜杠后面的数字表示用于表示网络的位数。
答案 3 :(得分:14)
如果您只关心特定计算机的流量,请使用捕获过滤器,您可以在Capture -> Options下设置。
host 192.168.1.101
Wireshark只会捕获192.168.1.101发送或接收的数据包。这样做的好处是需要较少的处理,这降低了重要数据包丢失(丢失)的可能性。
答案 4 :(得分:11)
尝试
ip.dst == 172.16.3.255
答案 5 :(得分:8)
实际上由于某种原因,wireshark在显示过滤器上使用两种不同类型的过滤器语法,在捕获过滤器上使用另一种。显示过滤器仅用于查找某些流量,仅用于显示目的。它就像你对所有交通一样感兴趣,但现在你只想看到特定的。
但如果您只对certian流量感兴趣并且根本不关心其他流量,那么您可以使用捕获过滤器。
显示过滤器的语法是(如前所述)
ip.addr = x.x.x.x
要么
ip.src = x.x.x.x
要么
ip.dst = x.x.x.x
但上面的语法在捕获过滤器中不起作用,以下是过滤器
主机x.x.x.x
上的更多示例答案 6 :(得分:1)
在我们的使用中,我们必须使用主机x.x.x.x进行捕获。或(vlan和主机x.x.x.x)
什么都不会捕获?我不确定为什么,但这就是它的工作方式!
答案 7 :(得分:-2)
尝试在过滤字符串中写出: ip.dst == x.x.x.x
答案 8 :(得分:-2)
其他答案已涵盖如何按地址过滤,但如果您想排除地址,请使用
ip.addr < 192.168.0.11