正确的BPF过滤器是什么只接收源MAC地址等于传输MAC地址的数据包?
查看文档,似乎字段应该可以通过wlan[21:12]
或wlan.addr2
获得,但我无法让这些字段发挥作用。
答案 0 :(得分:1)
根据pcap-filter
manpage,tshark或Wireshark 的捕获过滤器不支持将数据包字段相互比较。
然而,您可以使用显示过滤器(Wireshark中的顶部栏,一旦捕获开始)执行此操作:
UPDATE [column]
SET [column] = DATEADD(mm, 5, [column])
要使用捕获过滤器检查 DS标志是否等于0x1 ,您可以执行以下操作:
wlan.sa == wlan.ta
它检索wlan标头的第二个字节(wlan[1] & 3 = 1
),屏蔽2个低位(wlan[1]
),并将结果与1进行比较。