仅接收源 MAC 地址等于传输 MAC 地址的数据包的正确 BPF 过滤器是什么?
查看文档,似乎这些字段应该可以通过wlan[21:12]或者wlan.addr2但我无法让它们工作。
问问题
356 次
1 回答
1
根据手册pcap-filter页,tshark 或 Wireshark 的捕获过滤器不支持相互比较数据包字段。
但是,您可以使用显示过滤器来执行此操作(Wireshark 中的顶部栏,一旦开始捕获):
wlan.sa == wlan.ta
要使用捕获过滤器检查DS 标志是否等于 0x1 ,您可以执行以下操作:
wlan[1] & 3 = 1
它检索 wlan 标头的第二个字节 ( wlan[1]),屏蔽 2 个低位 ( & 3),并将结果与 1 进行比较。
于 2018-05-21T18:47:01.470 回答