我在拥挤的环境中嗅探几个设备。我想知道是否有一种简单的方法可以完成我不知道的过滤。
我有两个正在连接的 AP,所以我按 wlan.addr==xx || 过滤 wlan.addr==xx 等等,但这会留下一堆来自我周围其他系统的探测器,我在嗅探中不需要这些探测器。过滤掉东西并制作更小的文件会很好。
我想说类似 (wlan.addr==xx || wlan.addr==xx) && 没有其他地址。
现在我可以通过 (wlan.addr==AP1 && wlan.addr=device1) || (wlan.addr==AP2 && wlan.addr=device1) 等所有可能的组合,但它会很长并且可能容易出错。希望有一个更短的解决方案。
感谢您的任何帮助或想法
您可以使用过滤器wlan.da==aa:aa:aa:aa:aa:aa,wlan.sa==bb:bb:bb:bb:bb:bbwhereda代表目标地址,sa代表“源地址”。
所以,像:
(wlan.sa==xx || wlan.sa==yy) && wlan.da==zz
即使这违背了正常的编程逻辑,Wireshark(或者更确切地说是底层捕获过滤器)也足够聪明,可以理解
(wlan.addr==11:11:11:11:11:11 || wlan.addr==22:22:22:22:22:22) && wlan.addr==33:33:33:33:33:33
因为wlan.addr匹配源地址或目标地址。这样你就可以简单地匹配两个方向。