Если я собираю трафик через свою беспроводную карту, я получаю кучу разных типов пакетов. Я бы хотел видеть только трафик, предназначенный для интернета, то есть нет сетевого контента, который был бы локальным. Если я использую Wireshark в качестве фильтра захвата для «отсутствия многоадресной передачи и широковещания», будут ли все пакеты, которые я вижу, только те, которые предназначены для Интернета? Благодарю.
2 ответа
1
Нет. "Multicast" - это специальный набор адресов (224/4). "Broadcast" - это специальный адрес в сети ("все единицы", например, широковещательный адрес для 192.168/16 - 192.168.255.255). Вам необходимо убедиться, что один из адресов в пакете не принадлежит локальной сети.
1
Поскольку трафик, направляемый в Интернет, должен будет проходить через какой-либо маршрутизатор, IP-пакетам будет присвоен MAC-адрес маршрутизатора в качестве пункта назначения. Вы можете фильтровать все пакеты с MAC-адресом маршрутизатора (например, eth.dst == 00:0f:66:03:50:a7) в качестве пункта назначения.