Согласно справочной странице pcap-filter , фильтры захвата для tshark или Wireshark не поддерживают сравнение полей пакета друг с другом .
Однако вы можете, сделать это с помощью фильтра отображения (верхняя полоса в Wireshark, после запуска захвата):
wlan.sa == wlan.ta
Чтобы проверить, равен ли флаг DS 0x1 используя фильтр захвата, вы можете сделать следующее:
wlan[1] & 3 = 1
Извлекает второй байт заголовка wlan (wlan[1]), маскирует 2 младших бита (& 3) и сравниваетрезультат до 1.