802.11帧中有(最多)4个字段包含mac地址:
source mac
transmitter mac
destination mac
receiver mac
这些值是否有pcap捕获过滤器?例如,与ether host ff:ff:ff:ff:ff:ff
类似的东西。
我看过PCAP-FILTER Manpage,目前还不清楚。
答案 0 :(得分:2)
我认为我找到了一个解决方案,感谢这个答案:Server Fault - Is there some capture filter (or alternatives) that is especially useful for wireless capture?。
来源地址:
wlan src XX:XX:XX:XX:XX:XX
或wlan sa XX:XX:XX:XX:XX:XX
目标地址
wlan dst XX:XX:XX:XX:XX:XX
或wlan da XX:XX:XX:XX:XX:XX
收件人地址:
wlan addr1 XX:XX:XX:XX:XX:XX
或wlan ra XX:XX:XX:XX:XX:XX
发射器地址:
wlan addr2 XX:XX:XX:XX:XX:XX
或wlan ta XX:XX:XX:XX:XX:XX
2010年每个发行说明中都添加了对ra和ta的支持:
周五2010年8月6日.person@alum.mit.edu。 1.1.2 libpcap的摘要 发布
- 在读取pcap-ng文件时,从pcap_datalink()返回DLT_值,而不是原始LINKTYPE_值
- 添加对“wlan ra”和“wlan ta”的支持,以检查具有它们的WLAN帧的RA和TA
- 如果在没有802.11标头的情况下使用“wlan addr {1,2,3,4}”,请不要崩溃