是否存在只捕获arp-reply报文的BPF表达式?目前,我正在使用Pcap4J和以下BPF表达式:
arp和DST hosthost和ether DST mac
其中host是设备的IP地址,mac是主网络接口的mac地址。不幸的是,当包被捕获时,这个过滤器允许ARP广播请求也被捕获,所以我必须采取额外的步骤来检查ARP报头的操作字段是否为2而不是1。
试试这个:
(arp[6:2] = 2) and DST host host and ether DST mac