使用Wireshark的GUI Wireshark的“过滤器”栏，我想过滤捕获结果，这样中只显示了组播数据包。

我已经看到了这个帖子 ，但不用于GUI过滤器领域的工作。 这Wireshark的页面显示如何筛选出组播，而不是如何过滤一切，但组播。

有谁知道一个简单的语句，将做到这一点的？

先感谢您！

只要使用这种(eth.dst[0] & 1) 组播流量由MAC地址的最显著字节的最低位显著认可。 如果为1，多播，如果为0，不。

(eth.dst[0]&1) 

将过滤既多播和广播。 所以，从这个排除播出。 它会像

(eth.dst[0]&1) && !eth.dst==ff:ff:ff:ff:ff:ff 

我通过试错的过程跨越这个解决方案来。

由于一个多播地址开始“1110”（128 + 64 + 32 + 0 = 224），发送到IP地址开始1110的分组的目的地是一个多播地址。 为此，匹配掩模224.0.0.0/4的分组的目的地是一个多播地址。

这显示过滤器应为此过滤数据包，只多播地址：

ip.dst==224.0.0.0/4

使用Wireshark（2.2.6版本的Linux）是可能的选择过滤器“eth.ig == 1”

它是指“IG位”，也就是目前在以太网帧。

所述IG位区分MAC地址是否是个人或组（因此IG）地址。 换句话说，为0的IG位表示，这是一个单播MAC地址，为1的IG位指示多播或广播地址。

您是否尝试过只使用multicast作为过滤器？ 因为如果not multicast过滤掉所有的组播数据包，并允许通过一切为你链接的页面似乎状态，那么这是合乎逻辑的。