Wireshark 显示过滤器,其中源地址不是 ip 地址
Wireshark display filter where source address in not an ip-address
我想过滤掉这一行....
No. Time Source Dest Protocol Length Info
-----------------------------------------------------------------------------
20 111.526875000 CompalIn_dc:d9:3e Broadcast ARP 42 Who has 10.32.0.1? Tell 192.168.0.120
我试过了...
!(ip.src==CompalIn_dc:d9:3e && eth.dst==ff:ff:ff:ff:ff:ff && arp)
但这没有用,因为它不喜欢 IP 地址的 CompalIn_dc:d9:3e 部分。如果 'Source' 不是 ip 地址,还有其他方法可以指定吗?
这是一个以太网 MAC 地址,而不是 IP 地址,因此您使用 eth.src 而不是 ip.src 过滤它。此外,由于您正在尝试使用已解析的以太网地址(使用 OUI),因此您实际上需要使用 eth.src_resolved=="CompalIn_dc:d9:3e",因为 eth.src 用于未解析的 MAC 地址。
请记住,eth.src_resolved 过滤器仅在 Wireshark 1.12.0 之后可用,因此如果您使用的是旧版本的 Wireshark,则必须使用 eth.src和 MAC 地址的未解析的 6 个字节。
您可以在此处检查过滤器可用性:https://wireshark.org/docs/dfref/e/eth.html
我想过滤掉这一行....
No. Time Source Dest Protocol Length Info
-----------------------------------------------------------------------------
20 111.526875000 CompalIn_dc:d9:3e Broadcast ARP 42 Who has 10.32.0.1? Tell 192.168.0.120
我试过了...
!(ip.src==CompalIn_dc:d9:3e && eth.dst==ff:ff:ff:ff:ff:ff && arp)
但这没有用,因为它不喜欢 IP 地址的 CompalIn_dc:d9:3e 部分。如果 'Source' 不是 ip 地址,还有其他方法可以指定吗?
这是一个以太网 MAC 地址,而不是 IP 地址,因此您使用 eth.src 而不是 ip.src 过滤它。此外,由于您正在尝试使用已解析的以太网地址(使用 OUI),因此您实际上需要使用 eth.src_resolved=="CompalIn_dc:d9:3e",因为 eth.src 用于未解析的 MAC 地址。
请记住,eth.src_resolved 过滤器仅在 Wireshark 1.12.0 之后可用,因此如果您使用的是旧版本的 Wireshark,则必须使用 eth.src和 MAC 地址的未解析的 6 个字节。
您可以在此处检查过滤器可用性:https://wireshark.org/docs/dfref/e/eth.html