Filtrer les requêtes dhcp en fonction d’une adresse mac
bootp.hw.mac_addr == b8:27:eb:d3:cc:dd
bootp.hw.mac_addr[0:3] == b8:27:eb
Filtrer les requêtes dhcp et le trafique en fonction d’une adresse mac
bootp.type == 2 || eth.addr[0:3]==b8:27:eb
Filtrer les requêtes HTTP GET en fonction d’une adresse mac
eth.addr[0:3]==b8:27:eb && http.request.method == « GET »
Capturer et décrypter du trafic wifi
Configurer l’interface wifi en mode « monitor » et sélectionner le canal à écouter :
sudo ip link set INTERFACE down
sudo iw INTERFACE set monitor control
sudo ip link set INTERFACE up
sudo iw dev INTERFACE set channel CHANNEL
Générer une clé psk avec le SSID et le mot de passe du wifi :
wpa_passphrase mon_ssid mon_mot_de_passe
et la rentrer dans wireshark sous Editer=>Préférences=>Protocol=>IEEE 802.11
Ensuite sélectionner l’interface wifi et cocher la case monitor puis capturer des paquets.
Il faut avoir une authentification au wifi (filtre eapol) pour pouvoir décrypter les paquets.