Адрес источника фильтра BPF == адрес передачи

Question

Каков правильный фильтр BPF только для получения пакетов, в которых MAC-адрес источника равен MAC-адресу передачи?

Глядя на документацию, кажется, что поля должны быть доступны через wlan[21:12] или же wlan.addr2 но я не могу заставить их работать.

wireshark packet packet-sniffers tshark bpf

Источник

user9571880 21 май '18 в 17:41

1 ответ

Решение

Другие вопросы по тегам wireshark packet packet-sniffers tshark bpf

user6884590 21 май '18 в 18:47 2018-05-21 18:47 · Accepted Answer · 2018-05-21 18:47

Согласно pcap-filter manpage, фильтры захвата для tshark или Wireshark не поддерживают сравнение полей пакета друг с другом.

Однако вы можете сделать это с помощью фильтра отображения (верхняя панель в Wireshark, как только начался захват):

wlan.sa == wlan.ta

Чтобы проверить, равен ли флаг DS 0x1 с использованием фильтра захвата, вы можете сделать следующее:

wlan[1] & 3 = 1

Получает второй байт заголовка WLAN (wlan[1]), маскирует 2 младших бита (& 3) и сравнивает результат с 1.