Dumpcap 捕获过滤器语法 - wlan addr1 问题

网络工程 IEEE-802.11 线鲨
2022-02-03 15:27:30

我试图仅从指定的 MAC 地址捕获无线流量,而且我似乎使用了错误的语法。当我使用:

dumpcap -i wlp2s0 -b filesize:100000 -w capture.pcapng -a duration:18000 -f wlan addr1 d4:be:d9:5b:a6:45

我得到:

dumpcap: Invalid argument: d4:be:d9:5b:a6:45

我似乎得到了 -f 之后的语法不正确。我正在引用http://www.tcpdump.org/manpages/pcap-filter.7.html,它是从 dumpcap 上的 WireShark wiki 页面链接的。

我似乎找不到无线 M​​AC 地址捕获的示例,只有有线。我确定我在这里缺少一些东西。

后续问题:如果我想嗅探一些 MAC 地址,我是否将它们与术语分开,例如:wlan addr1 xx.xx.xx.xx.xx.xxwlan addr1 xx.xx.xx.xx.xx.zz

在 Ubuntu 17.04 上使用 wireshark 2.2.6

1个回答

您显然-f错误地使用了该选项。这就是 Dumpcap 文档所说的:

-F

设置捕获过滤器表达式。

整个过滤器表达式必须指定为单个参数(这意味着如果它包含空格,则必须用引号引起来)。

此选项可以出现多次。如果在 -i 选项第一次出现之前使用,它会设置默认的捕获过滤器表达式。如果在 -i 选项之后使用,它将为该选项之前出现的最后一个 -i 选项指定的接口设置捕获过滤器表达式。如果未专门设置捕获过滤器表达式,则使用默认捕获过滤器表达式(如果提供)。

您链接的页面还显示引用的过滤器(直接从链接页面复制):

`wlan addr2 0:2:3:4:5:6'.

尝试类似:

dumpcap -i wlp2s0 -b filesize:100000 -w capture.pcapng -a duration:18000 -f `wlan addr1 d4:be:d9:5b:a6:45'

显然,您可以多次使用过滤器选项。

其它你可能感兴趣的问题
上一篇逻辑隧道接口 Juniper MX 480 不“工作” 下一篇OSPF 到 BGP 重新分配问题