Whireshark: help me sulla cattura

Buona sera!
Avrei un problema nell' uso di Whireshark.
Mi è stato chiesto di catturare esclusivamente i pacchetti di tipo ARP in una connessione..
Ecco.. Come posso fare??

I filtri che ho provato sono:
.arp.dst.proto_ipv4==192.168.1.1
.arp.dst.proto_ipv4==192.168.1.1 and not tcp and not icmp and not pnrp
.arp==192.168.1.1

Nei primi due filtri mi veniva fuori di tutto, anche mettendo quegli "and not" seguiti dal protocollo da evitare, mentre nell' ultimo (se non sbaglio è quello che suggeriscono nella wiki del programma) solo ARP, ICMP e TCP. Pensate che facciano comunque parte degli ARP e quindi non si possano escludere?

Ho provato anche, una volta finita la cattura dei pacchetti, a cliccare col destro su un pacchetto ARP>Apply as filter>Selected e a ripetere la cattura avendo come filtro il criterio con cui è stato preso quell' ARP: eth.dst == 00:24:21:1e:aa:99.
Non penso si possa usare quel tipo di filtro: l' indirizzo MAC io non lo so, e lo dovrei venire a sapere appunto con l' ARP (se non sbaglio). Quindi non posso mettere l' indirizzo che devo trovare, nel filtro!

Ho scaricato un' esempio di cattura di pacchetti ARP direttamente dalla wiki, solo che da bravi furboni fanno vedere i bei pacchetti azzurri, ma non c' è traccia del filtro che hanno usato. No comment.

Spero ci sia una qualche anima in grado di aiutarmi.. E' tutto il giorno che scasino nella wiki di WhireShark, ma ai loro occhi sembra tutto semplice!!

Grazie in anticipo

Io per fare un filtraggio di quel tipo metto semplicemente "arp" nel filtro e applico (Gentoo/ArchLinux/FreeBSD/WindoZe )

Nel menu "expressions" andresti nella categoria ARP o IPv4?

Se vuoi per forza usare la wizard basta scegliere arp (qui guarda che basta puntare una voce a caso e scrivere ciò che ti serve, ti fa la ricerca...), se non scegli la sottocategoria lui usa il protocollo indicato in tutte le eccezioni (è la stessa cosa di scriverlo nel filtro e battere "apply"...)