BPF过滤源地址==传输地址

时间:2018-05-21 17:41:23

标签: wireshark packet packet-sniffers tshark bpf

正确的BPF过滤器是什么只接收源MAC地址等于传输MAC地址的数据包?

查看文档,似乎字段应该可以通过wlan[21:12]wlan.addr2获得,但我无法让这些字段发挥作用。

1 个答案:

答案 0 :(得分:1)

根据pcap-filter manpage,tshark或Wireshark 的捕获过滤器不支持将数据包字段相互比较

然而,您可以使用显示过滤器(Wireshark中的顶部栏,一旦捕获开始)执行此操作:

UPDATE [column]
SET [column] = DATEADD(mm, 5, [column])

要使用捕获过滤器检查 DS标志是否等于0x1 ,您可以执行以下操作:

wlan.sa == wlan.ta

它检索wlan标头的第二个字节(wlan[1] & 3 = 1 ),屏蔽2个低位(wlan[1]),并将结果与​​1进行比较。