Если я перехватываю трафик через беспроводную карту, я получаю кучу разных типов пакетов. Я бы хотел видеть только трафик, предназначенный для интернета, то есть никакой сетевой материал, который является локальным. Если я использую Wireshark в качестве фильтра захвата для «отсутствия многоадресной передачи и широковещания», будут ли все пакеты, которые я вижу, только те, которые предназначены для Интернета? Благодарю.
Ответы:
Поскольку трафик, направляемый в Интернет, должен будет проходить через какой-либо маршрутизатор, IP-пакетам будет присвоен MAC-адрес маршрутизатора в качестве пункта назначения. Вы можете фильтровать все пакеты с MAC-адресом маршрутизатора (например, eth.dst == 00: 0f: 66: 03: 50: a7) в качестве пункта назначения.
Нет. «Multicast» - это специальный набор адресов (224/4). «Трансляция» - это специальный адрес в сети («все единицы», например, широковещательный адрес для 192.168 / 16 - 192.168.255.255). Вам необходимо убедиться, что один из адресов в пакете не принадлежит локальной сети.
Есть еще один способ отфильтровать локальный трафик от выхода: объединить фильтр «только IP-трафик» И «только IP-адреса, исключая 10.0.0.0/8». Войдите в это окно фильтра (при запуске захвата)>ip && !(ip.dst==10.0.0.0/8)
если вам нужно исключить диапазон 192er> ip && !(ip.dst==192.168.0.0/16)
not (multicast or broadcast)?