ether[0]&0x0c=0x08首先是过滤数据帧
ether[32] == 0x88 && ether[32 + 1] == 0x8E LLC最后两个字节说明这个帧是802.1x的认证帧
32是有LLC的时候
ether[1] & 0x40!= 0x40 说这个是未加密的帧
tcpdump -r epol.pcap 'ether[0]&0x0c=0x08' -w x.pcap
tcpdump -r epol.pcap 'ether[0]&0x0c=0x08&ðer[32] == 0x88 && ether[32 + 1] == 0x8E && (ether[1] & 0x40) != 0x40'
阅读(1386) | 评论(0) | 转发(0) |