Filtrer les requêtes dhcp en fonction d’une adresse mac

bootp.hw.mac_addr == b8:27:eb:d3:cc:dd
bootp.hw.mac_addr[0:3] == b8:27:eb

Filtrer les requêtes dhcp et le trafique en fonction d’une adresse mac

bootp.type == 2 || eth.addr[0:3]==b8:27:eb

Filtrer les requêtes HTTP GET en fonction d’une adresse mac

eth.addr[0:3]==b8:27:eb && http.request.method == « GET »

Capturer et décrypter du trafic wifi

Configurer l’interface wifi en mode « monitor » et sélectionner le canal à écouter :

sudo ip link set INTERFACE down
sudo iw INTERFACE set monitor control
sudo ip link set INTERFACE up
sudo iw dev INTERFACE set channel CHANNEL

Générer une clé psk avec le SSID et le mot de passe du wifi :

wpa_passphrase mon_ssid mon_mot_de_passe

et la rentrer dans wireshark sous Editer=>Préférences=>Protocol=>IEEE 802.11

Ensuite sélectionner l’interface wifi et cocher la case monitor puis capturer des paquets.

Il faut avoir une authentification au wifi (filtre eapol) pour pouvoir décrypter les paquets.