我想过滤掉这一行......
No. Time Source Dest Protocol Length Info
-----------------------------------------------------------------------------
20 111.526875000 CompalIn_dc:d9:3e Broadcast ARP 42 Who has 10.32.0.1? Tell 192.168.0.120
我试过......
!(ip.src==CompalIn_dc:d9:3e && eth.dst==ff:ff:ff:ff:ff:ff && arp)
但是这不起作用,因为它不喜欢ip-address的CompalIn_dc:d9:3e部分。如果它不是ip-address,还有另一种指定'Source'的方法吗?
答案 0 :(得分:1)
这是以太网MAC地址,而不是IP地址,因此您使用eth.src进行过滤,而不是ip.src。此外,由于您尝试使用已解析的以太网地址(使用OUI),因此您实际上需要使用eth.src_resolved=="CompalIn_dc:d9:3e",因为eth.src是未解决的MAC地址。
请注意,eth.src_resolved过滤器仅在Wireshark 1.12.0之后可用,因此,如果您使用旧版本的Wireshark,那么您将不得不使用{{1而不是MAC地址的未解析的6个字节。
您可以在此处检查过滤器的可用性:https://wireshark.org/docs/dfref/e/eth.html