Estou capturando tráfego sem fio no modo monitor com o WireShark. Eu quero capturar o tráfego apenas para um determinado BSS. Embora o wlan.bssid == xx:xx:xx:xx:xx:xx funcione bem como um filtro de exibição, não quero que meus dados fiquem cheios de tráfego inútil no qual não estou interessado (o ar está bastante confuso em todos os canais).
Então a pergunta aqui:
Aqui estão alguns filtros de captura mais úteis:
wlan sa (endereço de origem):
wlan src XX: XX: XX: XX: XX: XX
wlan da (endereço de destino):
wlan dst XX: XX: XX: XX: XX: XX
wlan ra (endereço do destinatário):
wlan addr1 XX: XX: XX: XX: XX
wlan ta (endereço do transmissor):
wlan addr2 XX: XX: XX: XX: XX
anfitrião wlan XX: XX: XX: XX: XX: XX
Obrigado ao Guy Harris .
A captura do tráfego sem fio pode ser uma boa cadela, pois nem todos os adaptadores sem fio entrarão no modo promíscuo, como é de se esperar.
Você pode precisar de um dispositivo AirPcap
No que diz respeito aos filtros, não vejo por que você não pode usar isso como um filtro de exibição, exportar pacotes marcados para um arquivo pcap diferente e reabri-los. Não tenho certeza se o mesmo tipo de filtro para exibição funciona como um filtro no modo de captura. Eu apenas filtraria e exportaria.