Answers:
在Wireshark中过滤IP地址:
(1)单IP过滤:
ip.addr == XXXX
ip.src == XXXX
ip.dst == XXXX
(2)基于逻辑条件的多重IP过滤:
或条件:
(ip.src == 192.168.2.25)||(ip.dst == 192.168.2.25)
AND条件:
(ip.src == 192.168.2.25)&&(ip.dst == 74.125.236.16)
您还可以将过滤器限制为仅IP地址的一部分。
EG要过滤123.*.*.*
,可以使用ip.addr == 123.0.0.0/8
。使用/16
和可以达到类似的效果/24
。
请参见WireShark手册页(过滤器),并查找无类域间路由(CIDR)表示法。
...斜线后的数字表示用来表示网络的位数。
如果您只关心特定计算机的流量,请改用捕获过滤器,可以在下进行设置Capture -> Options
。
host 192.168.1.101
Wireshark将仅捕获由发送或接收的数据包192.168.1.101
。这具有需要较少处理的优点,这降低了重要数据包被丢弃(丢失)的机会。
实际上,出于某种原因,wireshark使用两种不同类型的过滤器语法,一种在显示过滤器上,另一种在捕获过滤器上。显示过滤器仅在查找某些流量时才有用,仅用于显示目的。就像您对所有流量都感兴趣,但现在您只想看看具体情况。
但是,如果您仅对证书流量感兴趣,根本不关心其他流量,则可以使用捕获过滤器。
显示过滤器的语法为(如前所述)
ip.addr = x.x.x.x
或
ip.src = x.x.x.x
或
ip.dst = x.x.x.x
但以上语法在捕获过滤器中不起作用,以下是过滤器
主机xxxx
在wireshark Wiki页面上查看更多示例
ip.host
与具有相同的作用ip.addr
。