如果我通过无线网卡捕获流量,就会出现大量不同类型的数据包。我只想看到发往互联网的流量,即没有本地网络流量。如果我使用 Wireshark 作为“无多播和广播”的捕获过滤器,那么我看到的所有数据包是否都是发往互联网的数据包?谢谢。
答案1
由于发往互联网的流量需要经过某种路由器才能到达,因此 IP 数据包将被赋予路由器的 MAC 地址作为目的地。您可以过滤所有以路由器的 MAC 地址(例如 eth.dst == 00:0f:66:03:50:a7)为目的地的数据包。
答案2
还有另一种方法可以过滤来自出口的本地流量:将“仅 IP 流量”和“仅 IP 地址(不包括 10.0.0.0/8)”的过滤器组合起来。在过滤器窗口中输入此内容(运行捕获时)>ip && !(ip.dst==10.0.0.0/8)
如果你需要排除 192er 范围 >ip && !(ip.dst==192.168.0.0/16)
答案3
不。“多播”是一组特殊的地址(224/4)。“广播”是网络内的特殊地址(“全 1”,例如 192.168/16 的广播地址是 192.168.255.255)。您需要确保数据包中的某个地址不属于本地网络。