2015年5月

Wireshark 只保存过滤器过滤后的数据包

最近一直在研究 H3C 的 802.1x 拨号,用 Wireshark 抓包,但是我只需要一些过滤后的包(只占总包的 0.2% 左右),直接保存的话文件会很大,同时会有一些其他的包,出于文件传输以及安全方面的考虑,这样并不适合。
Wireshark 的过滤有 捕捉过滤器显示过滤器 这两种,想过直接在捕捉过滤器那里设置,发现 eap||eapol 在捕捉过滤器竟然是不合法的表达式?于是只能是先抓所有包,然后只保存显示过滤器过滤后的包。
我电脑上的 Wireshark 的版本是1.10.8,发现网上找到的以及官方介绍的“另存为”的方法并不适用于这个版本(可能更早几个版本也已经不行了)以及更新的版本。



- 阅读剩余部分 -