在 pcap 跟踪上运行 tshark 时,如何过滤掉特定的 MAC 地址?

网络工程 线鲨 包分析 转储 电容
2021-07-06 11:46:37

我尝试了很多东西,但似乎没有一个能奏效。我想运行这个命令:

tshark -r data.pcap -T fields -e frame.time_epoch -e frame.len

但让它忽略来自/到具有特定 MAC 地址的一个或多个设备的任何数据包。我试过的变种not eth.addr==mac !=等用的-Y标志。

如果这对 tshark 来说是不可能的,一个单独的命令(例如 tcpdump)来预处理 pcap 并将数据包过滤到一个新文件中也可以。任何提示将不胜感激!

1个回答

您可以使用not ether host 01:23:45:67:89:ab. 要仅过滤源地址或目标地址,请使用not ether srcnot ether dst

检查http://www.tcpdump.org/manpages/pcap-filter.7.html

其它你可能感兴趣的问题
上一篇IPv6 世界中的链接本地和站点本地范围之间有什么区别吗? 下一篇如何允许 Cisco access-list 命令中的行为?