Wireshark: filtre par Multicast en GUI
en utilisant le champ "Filter" de Wireshark dans L'interface graphique de Wireshark, j'aimerais filtrer les résultats de capture pour que seuls les paquets multicast soient affichés.
j'ai vu ce post mais cela ne fonctionne pas pour le champ GUI filter. C'Wireshark page montre comment filtrer multicast, mais pas comment tout filtrer mais multidiffusion.
est-ce que quelqu'un connaît une simple déclaration qui fera cela?
je vous Remercie à l' l'avance!
5 réponses
il suffit d'utiliser cette (eth.dst[0] & 1)
. Le trafic Multicast est reconnu par le bit le moins significatif du octet le plus significatif de L'adresse MAC. Si 1, multicast, si 0, pas.
(eth.dst[0]&1)
filtre de multidiffusion et de diffusion. Donc, de ceci excluez la diffusion. Ce sera comme
(eth.dst[0]&1) && !eth.dst==ff:ff:ff:ff:ff:ff
je suis tombé sur cette solution par un processus d'essais et d'erreurs.
depuis qu'une adresse multicast commence "1110" (128+64+32+0 = 224), un paquet envoyé à une adresse IP commençant 1110 est destiné à une adresse multicast. Par conséquent, un paquet correspondant au masque 224.0.0.0/4 est destiné à une adresse multicast.
ce filtre d'affichage doit donc filtrer les paquets vers les adresses multicast uniquement:
ip.dst==224.0.0.0/4
avec Wireshark (Version 2.2.6 Pour Linux) est possible de choisir le filtre" eth.ig = = 1"
il se réfère à "IG bit" qui est présent dans le cadre Ethernet.
le bit IG permet de distinguer si L'adresse MAC est une adresse individuelle ou de groupe (donc IG). En d'autres termes, un bit IG de 0 indique qu'il s'agit d'une adresse Mac unicast, un bit IG de 1 indique une adresse multicast ou broadcast.
avez-vous essayé juste d'utiliser multicast
en tant que votre filtre? Parce que si not multicast
filtre tous les paquets multicast et laisse passer tout le reste comme la page que vous avez liée semble l'indiquer, alors c'est seulement logique.