wireshark支持字节偏移型的过滤,MAC报头格式如下:我们只需要匹配eth的0-3个字节即可,即使:eth == 01.00.5e,过滤完如下图:再扩展一下:我们知道以太网的上层协议有很多种,例如ip/arp等,上面讲过可以通过在过滤规则中直接输入协议来过滤,这里我们通过字节偏移来实现,看一下二层报头,在源目地址12字节后是上层协议的类型,ARP的类型占2个字节,RARP对应0x8035,IP对应0x0800,ARP对应0x0806,IPv6对应0x86DD,例如我们过滤上图的RARP,在过滤规则中输入eth == 8035,也就是选择eth头部12位-14位,过滤结果如下:如上图所示,只要我们足够了解eth报头的信息,我们就可以精确的过滤到我们感兴趣的内容。
一直想找个万兆的硬路由,找了很久大部分价格都是大几千甚至上万,最后找到了ER2260T,2个万兆SFP+和4个千兆电口,825元包邮,等到了之后,上电测试没什么问题,当时就拆了,短接触点接TTL刷了Openwrt,拆机和刷机过程没拍照,拆解已经有很多别人的贴子了,大家可以搜一下。
