C / C ++ PCAP фильтр выражение для пакетов ответа ARP

Question

Я пытаюсь создать фильтр pcap только для фильтрации ответов ARP. В Wireshark я использую

arp.opcode==2

и это работает отлично. Но когда я использую его в функции pcap_compile, возникает исключение — синтаксическая ошибка. Я пробовал также эти варианты:

arp.opcode = 2
arp.opcode 2
arp opcode 2
arp.reply
arp reply

и ничто не похоже на работу. Я пытался гуглить, но безуспешно. Возможно ли отфильтровать эти конкретные пакеты?

0

Решение

Других решений пока нет …

Accepted Answer

Я подозреваю, что это должно работать, основываясь на структуре пакета из Википедия:

arp [6:2] = 2

Это также предполагает этот ответ: https://stackoverflow.com/a/40199540/212870

(К сожалению, поиск ответа легче найти, к сожалению.)

0