web-dev-qa-db-fra.com

Wireshark: Filtrer par multidiffusion dans l'interface graphique

En utilisant le champ "Filtre" de Wireshark dans l'interface graphique de Wireshark, je souhaite filtrer les résultats de capture afin que seuls les paquets en multidiffusion soient affichés. 

J'ai vu ce post mais cela ne fonctionne pas pour le champ de filtre d'interface graphique. Cette page Wireshark montre comment filtrer le multicast, mais pas comment tout filtrer mais le multicast.

Est-ce que quelqu'un sait d'une déclaration simple qui fera cela?

Merci d'avance!

18
user1205577

Utilisez simplement ce (eth.dst[0] & 1). Le trafic de multidiffusion est reconnu par le bit le moins significatif de l'octet le plus significatif de l'adresse MAC. Si 1, multidiffusion, si 0, pas.

37
Rob Wagner
(eth.dst[0]&1) 

filtrera à la fois la multidiffusion et la diffusion. Donc, à partir de cette diffusion exclue. Ce sera comme 

(eth.dst[0]&1) && !eth.dst==ff:ff:ff:ff:ff:ff 
15
mojjj

Je suis tombé sur cette solution par tâtonnements.

Puisqu'une adresse de multidiffusion commence par "1110" (128 + 64 + 32 + 0 = 224), un paquet envoyé à une adresse IP commençant par 1110 est destiné à une adresse de multidiffusion. Par conséquent, un paquet correspondant au masque 224.0.0.0/4 est destiné à une adresse de multidiffusion.

Ce filtre d'affichage doit donc filtrer les paquets en adresses de multidiffusion uniquement:

ip.dst==224.0.0.0/4
0
Matty Brown

Avec Wireshark (version 2.2.6 pour Linux), il est possible de choisir le filtre " eth.ig == 1

Il fait référence au "bit IG" présent dans la trame Ethernet.

Le bit IG permet de distinguer si l'adresse MAC est une adresse individuelle ou de groupe (donc IG). En d'autres termes, un bit IG de 0 indique qu'il s'agit d'une adresse MAC en envoi individuel, un bit IG de 1 indique une adresse de multidiffusion ou de diffusion.

0
Alessandro T