나는 시도 dst==192.168.1.101
했지만 얻는 것 :
Neither "dst" nor "192.168.1.101" are field or protocol names.
The following display filter isn't a valid display filter:
dst==192.168.1.101
답변
경기 목적지 : ip.dst == x.x.x.x
일치 소스 : ip.src == x.x.x.x
다음 중 하나와 일치합니다. ip.addr == x.x.x.x
답변
Wireshark에서 IP 주소 필터링 :
(1) 단일 IP 필터링 :
ip.addr == XXXX
ip.src == XXXX
ip.dst == XXXX
(2) 논리적 조건에 따른 다중 IP 필터링 :
또는 상태 :
(ip.src == 192.168.2.25) || (ip.dst == 192.168.2.25)
AND 조건 :
(ip.src == 192.168.2.25) && (ip.dst == 74.125.236.16)
답변
필터를 IP 주소의 일부로 만 제한 할 수도 있습니다.
EG 필터링 123.*.*.*
하려면을 사용할 수 있습니다 ip.addr == 123.0.0.0/8
. 비슷한 효과를 달성 할 수 /16
와 /24
.
참조 WireShark로 매뉴얼 페이지 (필터) 및 대한 모습 사이더 (CIDR) 표기 .
슬래시 뒤의 숫자는 네트워크를 나타내는 데 사용되는 비트 수를 나타냅니다.
답변
특정 머신의 트래픽 만 신경 쓰는 경우 대신 캡처 필터를 사용하십시오 Capture -> Options
.
host 192.168.1.101
Wireshark는에서 보내거나받는 패킷 만 캡처합니다 192.168.1.101
. 이것은 적은 처리량을 필요로한다는 이점이 있으며, 이는 중요한 패킷이 손실 (누락) 될 가능성을 낮 춥니 다.
답변
시험
ip.dst == 172.16.3.255
답변
실제로 어떤 이유로 wireshark는 두 가지 다른 종류의 필터 구문을 사용합니다. 하나는 디스플레이 필터와 다른 하나는 캡처 필터입니다. 디스플레이 필터는 디스플레이 목적으로 만 특정 트래픽을 찾는 데만 유용합니다. 모든 트래픽에 관심이 있지만 지금은 구체적으로보고 싶습니다.
그러나 certian 트래픽에만 관심이 있고 전혀 신경 쓰지 않으면 캡처 필터를 사용하십시오.
디스플레이 필터의 구문은 다음과 같습니다 (앞서 언급 한대로).
ip.addr = x.x.x.x
또는
ip.src = x.x.x.x
또는
ip.dst = x.x.x.x
위의 구문은 캡처 필터에서 작동하지 않습니다. 필터는 다음과 같습니다.
호스트 xxxx
wireshark 위키 페이지 에서 더 많은 예제를보십시오
답변
우리는 호스트 xxxx 또는 (vlan 및 호스트 xxxx)로 캡처해야합니다.
덜 캡처하지 않는 것? 왜 그런지 잘 모르겠지만 그것이 작동하는 방식입니다!