webentwicklung-frage-antwort-db.com.de

Wireshark: Filtern nach Multicast in der GUI

Mit dem Wireshark-Feld "Filter" in der Wireshark-GUI möchte ich die Capture-Ergebnisse filtern, sodass nur Multicast-Pakete angezeigt werden. 

Ich habe diesen Beitrag gesehen, aber das funktioniert nicht für das GUI-Filterfeld. Diese Wireshark-Seite zeigt, wie Multicast herausgefiltert wird, aber nicht, wie alles außer Multicast gefiltert wird.

Kennt jemand eine einfache Aussage, die dies tun wird?

Danke im Voraus!

18
user1205577

Verwenden Sie einfach diesen (eth.dst[0] & 1). Multicast-Verkehr wird vom niedrigstwertigen Bit des höchstwertigen Bytes der MAC-Adresse erkannt. Wenn 1, Multicast, wenn 0, nicht.

37
Rob Wagner
(eth.dst[0]&1) 

filtert sowohl Multicast als auch Broadcast. Also von dieser Sendung ausschließen. Es wird so sein 

(eth.dst[0]&1) && !eth.dst==ff:ff:ff:ff:ff:ff 
15
mojjj

Ich bin auf diese Lösung durch Versuch und Irrtum gestoßen.

Da eine Multicast-Adresse mit "1110" beginnt (128 + 64 + 32 + 0 = 224), ist ein Paket, das an einen IP-Adressanfang 1110 gesendet wird, für eine Multicast-Adresse bestimmt. Daher ist ein Paket, das mit der Maske 224.0.0.0/4 übereinstimmt, für eine Multicast-Adresse bestimmt.

Dieser Anzeigefilter sollte daher Pakete nur auf Multicast-Adressen filtern:

ip.dst==224.0.0.0/4
0
Matty Brown

Mit Wireshark (Version 2.2.6 für Linux) kann der Filter " eth.ig == 1 " ausgewählt werden. 

Es bezieht sich auf "IG-Bit", das im Ethernet-Frame vorhanden ist.

Das IG-Bit unterscheidet, ob die MAC-Adresse eine Einzel- oder Gruppenadresse (daher IG-Adresse) ist. Mit anderen Worten, ein IG-Bit von 0 zeigt an, dass dies eine Unicast-MAC-Adresse ist, ein IG-Bit von 1 zeigt eine Multicast- oder Broadcast-Adresse.

0
Alessandro T