我尝试了dst==192.168.1.101,但只得到:
Neither "dst" nor "192.168.1.101" are field or protocol names.
The following display filter isn't a valid display filter:
dst==192.168.1.101
如果您只关心特定机器的流量,则使用捕获过滤器,您可以在capture -> Options下设置该过滤器。
host 192.168.1.101
Wireshark只捕获192.168.1.101发送或接收的数据包。这样做的好处是需要更少的处理,从而降低了重要数据包被丢弃(丢失)的几率。
还可以将筛选器限制为ip地址的一部分。
例如:过滤123.*.*。*你可以使用ip。Addr == 123.0.0.0/8。/16和/24也可以达到类似的效果。
参见WireShark手册页(过滤器)并寻找无类域间路由(CIDR)符号。
... 斜杠后面的数字表示用于表示网络的比特数。
Wireshark过滤IP地址:
(1)单IP过滤:
ip.addr = = X.X.X.X
ip.src = = X.X.X.X
ip.dst = = X.X.X.X
(2)基于逻辑条件的多IP过滤:
或条件:
(ip.src = = 192.168.2.25) | | (ip.dst = = 192.168.2.25)
和条件:
(ip.src==192.168.2.25) && (ip.dst==74.125.236.16)
实际上,由于某种原因,wireshark使用了两种不同的过滤器语法,一种是显示过滤器,另一种是捕获过滤器。显示过滤器仅用于查找仅用于显示目的的特定流量。这就像你对所有的流量感兴趣,但现在你只想看到具体的。
但是,如果您只对某些流量感兴趣,而对其他流量完全不关心,那么您可以使用捕获过滤器。
显示筛选器的语法是(如前所述)
ip。地址= X.X.X.X 或 ip。SRC = X.X.X.X 或 ip。DST = X.X.X.X
但是上面的语法在捕获过滤器中不起作用,下面是过滤器
主机x.x.x.x
更多例子见wireshark维基页面
