pcap(wireshark)按wlan mac地址过滤

时间:2017-10-23 20:28:58

标签: c wireshark pcap libpcap

802.11帧中有(最多)4个字段包含mac地址:

  • source mac
  • transmitter mac
  • destination mac
  • receiver mac

这些值是否有pcap捕获过滤器?例如,与ether host ff:ff:ff:ff:ff:ff类似的东西。

我看过PCAP-FILTER Manpage,目前还不清楚。

1 个答案:

答案 0 :(得分:2)

我认为我找到了一个解决方案,感谢这个答案:Server Fault - Is there some capture filter (or alternatives) that is especially useful for wireless capture?

来源地址: wlan src XX:XX:XX:XX:XX:XXwlan sa XX:XX:XX:XX:XX:XX
目标地址 wlan dst XX:XX:XX:XX:XX:XXwlan da XX:XX:XX:XX:XX:XX
收件人地址: wlan addr1 XX:XX:XX:XX:XX:XXwlan ra XX:XX:XX:XX:XX:XX
发射器地址: wlan addr2 XX:XX:XX:XX:XX:XXwlan ta XX:XX:XX:XX:XX:XX

2010年每个发行说明中都添加了对ra和ta的支持:

  

周五2010年8月6日.person@alum.mit.edu。 1.1.2 libpcap的摘要   发布

     
      
  • 在读取pcap-ng文件时,从pcap_datalink()返回DLT_值,而不是原始LINKTYPE_值
  •   
  • 添加对“wlan ra”和“wlan ta”的支持,以检查具有它们的WLAN帧的RA和TA
  •   
  • 如果在没有802.11标头的情况下使用“wlan addr {1,2,3,4}”,请不要崩溃
  •