Wireshark में IP एड्रेस द्वारा फ़िल्टर कैसे करें?

291

मैंने कोशिश की dst==192.168.1.101लेकिन केवल मिल:

Neither "dst" nor "192.168.1.101" are field or protocol names.

The following display filter isn't a valid display filter:
dst==192.168.1.101

wireshark

— एलन
स्रोत

534

मिलान गंतव्य: ip.dst == x.x.x.x

मैच का स्रोत: ip.src == x.x.x.x

मैच या तो: ip.addr == x.x.x.x

— द आर्केटीपाल पॉल
स्रोत

ip.hostके साथ एक ही प्रभाव है ip.addr।

— शिहे जांग

40

विंडसरक में फ़िल्टरिंग आईपी एड्रेस:

(1) एकल आईपी फ़िल्टरिंग:

ip.addr == XXXX

ip.src == XXXX

ip.dst == XXXX

(2) तार्किक स्थितियों के आधार पर एकाधिक आईपी फ़िल्टरिंग:

या हालत:

(Ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)

और शर्त:

(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)

— राजीव दास
स्रोत

35

आप फ़िल्टर को केवल IP पते के केवल भाग तक सीमित कर सकते हैं।

ईजी फ़िल्टर करने के लिए 123.*.*.*आप उपयोग कर सकते हैं ip.addr == 123.0.0.0/8। इसी तरह के प्रभाव के साथ /16और प्राप्त किया जा सकता है /24।

देखें WireShark आदमी पृष्ठों (फिल्टर) और के लिए देखो क्लासलेस इंटरडोमेन रॉटिंग (CIDR) नोटेशन ।

... स्लैश के बाद की संख्या नेटवर्क का प्रतिनिधित्व करने के लिए उपयोग किए जाने वाले बिट्स की संख्या का प्रतिनिधित्व करती है।

— OldCurmudgeon
स्रोत

17

यदि आप केवल उस विशेष मशीन के ट्रैफ़िक की परवाह करते हैं, तो इसके बजाय कैप्चर फ़िल्टर का उपयोग करें, जिसे आप नीचे सेट कर सकते हैं Capture -> Options।

host 192.168.1.101

Wireshark केवल भेजे गए पैकेट को कैप्चर करेगा या प्राप्त करेगा 192.168.1.101। इससे कम प्रसंस्करण की आवश्यकता का लाभ होता है, जो महत्वपूर्ण पैकेटों को गिराए जाने (छूटने) की संभावना को कम करता है।

— डीन
स्रोत

घंटा मेरा अक्षम है :(

— शनिमल

मैंने देखा कि मेरे दोस्तों के कंप्यूटर पर भी। कैप्चर फिल्टर्स को वर्शार्क के नए संस्करणों में कहीं और ले जाया जा सकता है।

— डीन

हो सकता है क्योंकि Im परीक्षण संस्करण चला रहा है ...> _ <

— Shanimal

2

कैप्चर फ़िल्टर तभी बनाए जा सकते हैं जब कैप्चर रोक दिया जाए। उन्हें पूर्व संकलित किया जाना है। कैप्चर बंद करें और मेनू "कैप्चर ... विकल्प ..." विकल्प फिर से सक्षम हो जाएगा।

— jdw

11

प्रयत्न

ip.dst == 172.16.3.255

— केविन बाघे
स्रोत

10

वास्तव में किसी कारण से वायरशर्क दो अलग तरह के फिल्टर सिंटैक्स का उपयोग करता है एक डिस्प्ले फिल्टर पर और दूसरा कैप्चर फिल्टर पर। प्रदर्शन फ़िल्टर केवल प्रदर्शन उद्देश्य के लिए केवल कुछ ट्रैफ़िक खोजने के लिए उपयोगी है। इसकी तरह आप सभी ट्रैफ़िक में रुचि रखते हैं, लेकिन अभी के लिए आप केवल विशिष्ट देखना चाहते हैं।

लेकिन अगर आप केवल सर्टिफिकेशन ट्रैफिक में रुचि रखते हैं और किसी दूसरे की परवाह नहीं करते हैं तो आप कैप्चर फिल्टर का इस्तेमाल करते हैं।

प्रदर्शन फिल्टर के लिए सिंटैक्स है (जैसा कि पहले उल्लेख किया गया है)

ip.addr = x.x.x.x या ip.src = x.x.x.x या ip.dst = x.x.x.x

लेकिन ऊपर सिंटैक्स कैप्चर फिल्टर्स में काम नहीं करेगा, निम्नलिखित फिल्टर्स हैं

होस्ट xxxx

तारक विकी पृष्ठ पर अधिक उदाहरण देखें

— Mubashar
स्रोत

मुझे इसकी आदत पड़ने में बहुत लंबा समय लगा। यह आधी सलाह भी देता है जिससे आप अप्रासंगिक हो सकते हैं, जो प्रवेश के लिए एक बाधा है। :(

— नानबन जिम

2

एक अलग सिंटैक्स का उपयोग करने वाले कैप्चर फ़िल्टर का कारण यह है कि यह एक पीपल फ़िल्टरिंग एक्सप्रेशन की तलाश में है, जो कि यह अंडरवर्ल्ड लिंबपेक लाइब्रेरी में जाता है। लिबकैप की उत्पत्ति tcpdump से हुई। Wireshark की प्रोटोकॉल की अधिक समृद्ध समझ के साथ इसे और अधिक समृद्ध अभिव्यक्ति भाषा की आवश्यकता थी, इसलिए यह अपनी भाषा के साथ आया।

— जिम होआगलैंड

1

हमारे उपयोग में हमें होस्ट xxxx या vlan और होस्ट xxxx के साथ कब्जा करना होगा)

कुछ भी कम नहीं होगा? मुझे यकीन नहीं है कि ऐसा क्यों है लेकिन यह काम करता है!

— जैरी
स्रोत

क्योंकि 1) libpcap / WinPcap फ़िल्टर (Wireshark कैप्चर फ़िल्टरिंग libpcap / WinPcap द्वारा किया जाता है) की सीमित क्षमताएं होती हैं और वे VLAN- इनकैप्सुलेटेड और नॉन-वीएलएएन-इनकैप्सुलेटेड पैकेट और 2 दोनों के लिए जांच नहीं करते हैं और आपका नेटवर्क VLANs का उपयोग करता है। दुर्भाग्यपूर्ण है, लेकिन यह मामला है।

-2

अन्य उत्तर पहले ही पता लगा लेते हैं कि किसी पते से कैसे फ़िल्टर किया जा सकता है, लेकिन यदि आप किसी पते के उपयोग को छोड़ना चाहते हैं

ip.addr < 192.168.0.11

— tw0z
स्रोत