Wireshark 排除多个目标 IP 的过滤器
学习笔记作者:admin日期:2025-05-27点击:30
摘要:总结如何在 Wireshark 中使用显示过滤器排除多个目标 IP 地址的流量,包括正确语法和实际应用场景。
Wireshark 排除多个目标 IP 的过滤器
一、概述
在 Wireshark 中,使用显示过滤器(Display Filter)可以排除多个目标 IP 地址的流量。Wireshark 支持布尔逻辑运算符(and/or/not)以及集合操作,能够灵活实现复杂的过滤需求。
二、正确语法
not (ip.addr == 192.168.1.1 or ip.addr == 192.168.1.2)或者更简洁地写成:
not (ip.addr in {192.168.1.1 192.168.1.2})三、示例说明
| 过滤器 | 含义 |
|---|---|
| not ip.addr == 192.168.1.1 | 排除与 192.168.1.1 相关的所有流量 |
| not (ip.addr == 192.168.1.1 or ip.addr == 192.168.1.2) | 排除 192.168.1.1 和 192.168.1.2 的流量 |
| not (ip.dst == 192.168.1.1 or ip.src == 192.168.1.1) | 只排除发往或来自 192.168.1.1 的流量 |
四、应用场景
当你正在分析网络流量时,但某些目标 IP 地址(如 192.168.1.1 和 192.168.1.2)的通信频繁干扰你的观察,可以使用上述过滤器排除它们。
五、小贴士
- 使用 ip.addr 匹配源或目标 IP。
- 使用 ip.src 或 ip.dst 匹配单向流量。
- 支持布尔逻辑运算符 and/or/not。
六、复杂过滤器
如果需要排除多个 IP 地址,可以继续扩展过滤器:
not (ip.addr == 192.168.1.1 or ip.addr == 192.168.1.2 or ip.addr == 192.168.1.3)