仅捕获arp-reply数据包的BPF表达式
问题描述:
是否有只会捕获arp-reply数据包的BPF表达式?目前,我使用Pcap4J及以下BPF表达:仅捕获arp-reply数据包的BPF表达式
arp和DST主机主机和乙醚DST MAC
其中主机是我的设备和的IP地址mac是我的主要网络接口的MAC地址。不幸的是,当数据包被捕获时,这个过滤器允许ARP广播请求也被捕获,所以我必须采取额外的步骤来检查ARP头的操作字段是否为2而不是1。
答
试试这个:
(ARP [6:2] = 2)和DST主机的主机和醚DST MAC
您我的朋友,是天才。你能解释'6:2'指数在做什么吗? –
6是ARP头部中的偏移量,其中操作字段开始。 2是场的长度。 arp [6:2]返回操作字段的值。 – kaitoy