我正在尝试创建用于过滤ARP回复的pcap过滤器。在wireshark我使用
arp.opcode==2
它完美无缺。但是当我在pcap_compile函数中使用它时,它会引发异常 - 语法错误。我也试过这些变种:
arp.opcode = 2
arp.opcode 2
arp opcode 2
arp.reply
arp reply
似乎没什么用。我试图谷歌,但没有成功。甚至可能过滤那些特定的数据包吗?
答案 0 :(得分:0)
我怀疑这应该有效,基于Wikipedia的数据包结构:
arp [6:2] = 2
这个答案也提出了这个问题:https://stackoverflow.com/a/40199540/212870
(不幸的是,一旦找到答案,就会更容易查找。)