tshark impossible de filtrer l'adresse mac pendant la capture en direct

Question

J'essaie de capturer des paquets en utilisant tshark et je veux ajouter un filtre pour l'adresse source wlan, donc j'ai essayé en dessous de trois étapes, mais aucune n'a fonctionné.

ubuntu:/home/test$ tshark -i mon0 -w /tmp/test11.pcap -a duration:15 -R 
(wlan.sa == 3e:52:82:c1:2e:a9)" 

tshark: -R sans -2 est obsolète. Pour le filtrage en un seul passage, utilisez -Y.

ubuntu:/home/test$ tshark -i mon0 -w /tmp/test11.pcap -a duration:15 -Y " 
(wlan.sa == 3e:52:82:c1:2e:a9)" 

tshark: Les filtres d'affichage ne sont pas pris en charge lors de la capture et l'enregistrement des paquets capturés.

ubuntu:/home/test$ tshark -i mon0 -w /tmp/test11.pcap -a duration:15 -2R " 
(wlan.sa == 3e:52:82:c1:2e:a9)" 

tshark: capture d'animaux vivants ne prennent pas en charge l'analyse en deux passes.

Comment ajouter le filtre pour l'adresse wlan

Answer 1

Vous utilisez tshark en mode de capture (par rapport en ligne, sur un fichier de capture), de sorte que vous devez utiliser un filtre de capture, qui ont leur propre syntaxe (identique à tcpdump pour autant que je sache). Aucun drapeau n'est requis pour le filtre de capture (pas de -R ou -Y):

tshark -i mon0 -w /tmp/test11.pcap -a duration:15 ether src 3e:52:82:c1:2e:a9