Wireshark的显示过滤其中没有一个IP地址源地址
问题描述:
我想筛选出这一行....Wireshark的显示过滤其中没有一个IP地址源地址
No. Time Source Dest Protocol Length Info
-----------------------------------------------------------------------------
20 111.526875000 CompalIn_dc:d9:3e Broadcast ARP 42 Who has 10.32.0.1? Tell 192.168.0.120
我想...
!(ip.src==CompalIn_dc:d9:3e && eth.dst==ff:ff:ff:ff:ff:ff && arp)
但没有工作的它不像CompalIn_dc:d9:3e
部分的IP地址。如果不是IP地址,是否有另一种方式来指定“源”?
答
这是一个以太网MAC地址,而不是IP地址,因此您使用eth.src
而不是ip.src
进行过滤。此外,由于您试图使用已解析的以太网地址(使用OUI),因此您实际上需要使用eth.src_resolved=="CompalIn_dc:d9:3e"
,因为eth.src
用于未解析的MAC地址。
请记住,eth.src_resolved
过滤器仅在Wireshark 1.12.0之后才可用,所以如果您使用的是旧版本的Wireshark,则必须使用eth.src
和未解析的6个字节的MAC地址代替。
您可以在此检查过滤器的可用性:https://wireshark.org/docs/dfref/e/eth.html