使用Wireshark" Filter"在Wireshark GUI中的字段,我想过滤捕获结果,以便只显示多播数据包。
我已经看过this post,但这对GUI过滤器字段不起作用。 This Wireshark page显示了如何过滤多播,但没有过滤如何过滤所有但多播。
有没有人知道这样做的简单陈述?
提前谢谢!
答案 0 :(得分:38)
只需使用此(eth.dst[0] & 1)即可。多播流量由MAC地址的最高有效字节的最低有效位识别。如果是1,则多播,如果为0,则不是。
答案 1 :(得分:16)
(eth.dst[0]&1)
将过滤多播和广播。所以,从这个排除广播。它就像
(eth.dst[0]&1) && !eth.dst==ff:ff:ff:ff:ff:ff
答案 2 :(得分:0)
我通过反复试验来找到这个解决方案。
由于多播地址开始为“1110”(128 + 64 + 32 + 0 = 224),因此发送到IP地址开始1110的分组被发往多播地址。因此,与掩码224.0.0.0/4匹配的分组将以多播地址为目的地。
此显示过滤器应该仅将数据包过滤到多播地址:
ip.dst==224.0.0.0/4
答案 3 :(得分:0)
使用Wireshark(适用于Linux的2.2.6版本)可以选择过滤器" eth.ig == 1 "
它指的是" IG bit"以太网帧中存在。
IG位区分MAC地址是个人还是组(因此IG)地址。换句话说,IG位为0表示这是单播MAC地址,IG位为1表示多播或广播地址。
答案 4 :(得分:-1)
您是否尝试过使用multicast作为过滤器?因为如果not multicast过滤掉所有多播数据包,并且当你链接的页面处于状态时允许通过其他所有数据包,那么这只是合乎逻辑的。