Wireshark:GUIでのマルチキャストによるフィルタリング
Wireshark GUIのWiresharkの「フィルタ」フィールドを使用して、キャプチャ結果をフィルタリングして、マルチキャストパケットのみが表示されるようにします。
この投稿 を見てきましたが、GUIフィルターフィールドでは機能しません。 このWiresharkページ は、マルチキャストをフィルタリングする方法を示していますが、すべてをフィルタリングする方法は示していませんbutマルチキャスト。
これを行う簡単なステートメントを知っている人はいますか?
前もって感謝します!
これを使用してください(eth.dst[0] & 1)。マルチキャストトラフィックは、MACアドレスの最上位バイトの最下位ビットによって認識されます。 1の場合、マルチキャスト、0の場合はそうではありません。
(eth.dst[0]&1)
マルチキャストとブロードキャストの両方をフィルタリングします。したがって、これからブロードキャストを除外します。のようになります
(eth.dst[0]&1) && !eth.dst==ff:ff:ff:ff:ff:ff
Wireshark(Linuxの2.2.6バージョン)では、フィルター "eth.ig == 1"を選択できます
イーサネットフレームに存在する「IGビット」を指します。
IGビットは、MACアドレスが個人アドレスであるかグループ(したがってIG)アドレスであるかを区別します。言い換えると、0のIGビットはこれがユニキャストMACアドレスであることを示し、1のIGビットはマルチキャストまたはブロードキャストアドレスを示します。
私は試行錯誤のプロセスでこのソリューションに出会いました。
マルチキャストアドレスは「1110」(128 + 64 + 32 + 0 = 224)で始まるため、1110で始まるIPアドレスに送信されたパケットはマルチキャストアドレス宛です。そのため、マスク224.0.0.0/4に一致するパケットは、マルチキャストアドレス宛です。
したがって、この表示フィルタは、マルチキャストアドレスへのパケットのみをフィルタリングする必要があります。
ip.dst==224.0.0.0/4