filtering - make - wireshark filter gateway
Wireshark: filtro por multidifusión en GUI (5)
¿Has intentado usar multicast como filtro? Porque si not multicast filtra todos los paquetes de multidifusión y deja pasar todo lo demás como parece indicar la página que vinculó, eso es lógico.
Al usar el campo "Filtro" de Wireshark en la interfaz gráfica de Wireshark, me gustaría filtrar los resultados de captura para que solo se muestren los paquetes de multidifusión.
He visto esta publicación pero eso no funciona para el campo de filtro GUI. Esta página de Wireshark muestra cómo filtrar la multidifusión, pero no cómo filtrar todo menos la multidifusión.
¿Alguien sabe de una declaración simple que hará esto?
¡Gracias de antemano!
Con Wireshark (versión 2.2.6 para Linux) es posible elegir el filtro " eth.ig == 1 "
Se refiere al "bit IG" que está presente en el marco Ethernet.
El bit IG distingue si la dirección MAC es una dirección individual o de grupo (por lo tanto, IG). En otras palabras, un bit IG de 0 indica que se trata de una dirección MAC de unidifusión, un bit IG de 1 indica una dirección de difusión o multidifusión.
Me encontré con esta solución por un proceso de prueba y error.
Como una dirección de multidifusión comienza con "1110" (128 + 64 + 32 + 0 = 224), un paquete enviado a una dirección IP que comienza con 1110 está destinado a una dirección de multidifusión. Por lo tanto, un paquete que coincide con la máscara 224.0.0.0/4 está destinado a una dirección de multidifusión.
Este filtro de visualización debería, por lo tanto, filtrar paquetes a direcciones de multidifusión solamente:
ip.dst==224.0.0.0/4
Solo usa esto (eth.dst[0] & 1) . El tráfico de multidifusión se reconoce por el bit menos significativo del byte más significativo de la dirección MAC. Si es 1, multidifusión, si es 0, no.
(eth.dst[0]&1)
Filtrará tanto el multicast como el broadcast. Por lo tanto, a partir de esta emisión excluir. Sera como
(eth.dst[0]&1) && !eth.dst==ff:ff:ff:ff:ff:ff