Filtern des nicht lokalen IP-Datenverkehrs mit Wireshark
Wenn ich Datenverkehr über meine WLAN-Karte erfasse, werden eine Menge verschiedener Arten von Paketen angezeigt. Ich möchte nur Datenverkehr sehen, der für das Internet bestimmt ist, dh kein lokales Netzwerk. Wenn ich Wireshark als Erfassungsfilter für "Kein Multicast und Broadcast" verwende, sind dann alle Pakete, die ich sehe, nur diejenigen, die für das Internet bestimmt sind? Danke.
3 answers
Da der für das Internet gebundene Datenverkehr einen Router durchlaufen muss, um dorthin zu gelangen, erhalten die IP-Pakete die MAC-Adresse des Routers als Ziel. Sie können nach allen Paketen mit der MAC-Adresse des Routers filtern (z. B. eth.dst == 00:0f:66:03:50:a7) als Ziel.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2010-12-31 07:13:06
Nein. "Multicast" ist ein spezieller Satz von Adressen (224/4). "Broadcast" ist eine spezielle Adresse innerhalb eines Netzwerks ("alle", z. B. die Broadcast-Adresse für 192.168 / 16 ist 192.168.255.255). Sie müssen sicherstellen, dass eine der Adressen im Paket nicht aus dem lokalen Netzwerk stammt.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2010-12-27 04:18:59
Es gibt eine andere Möglichkeit, lokalen Datenverkehr aus egress herauszufiltern:
Kombinieren Sie einen Filter aus "nur IP-Verkehr" UND"nur IP-Adressen außer 10.0.0.0/8".
Geben Sie dies in das Filterfenster ein (wenn Sie eine Aufnahme ausführen)> ip && !(ip.dst==10.0.0.0/8)
Wenn Sie den 192er-Bereich ausschließen müssen > ip && !(ip.dst==192.168.0.0/16)
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2019-06-10 13:52:03