最近一直在研究 H3C 的 802.1x 拨号,用 Wireshark 抓包,但是我只需要一些过滤后的包(只占总包的 0.2% 左右),直接保存的话文件会很大,同时会有一些其他的包,出于文件传输以及安全方面的考虑,这样并不适合。
Wireshark 的过滤有 捕捉过滤器显示过滤器 这两种,想过直接在捕捉过滤器那里设置,发现 eap||eapol 在捕捉过滤器竟然是不合法的表达式?于是只能是先抓所有包,然后只保存显示过滤器过滤后的包。
我电脑上的 Wireshark 的版本是1.10.8,发现网上找到的以及官方介绍的“另存为”的方法并不适用于这个版本(可能更早几个版本也已经不行了)以及更新的版本。

附上 Wireshark 自带手册的截图一张(Wireshark 官方需要更新文档了...)
wireshark user's guide.png

点击“另存为”之后根本找不到那些选项啊
wireshark save as.png

后来发现新版本的 Wireshark 应该用 Export Specified Packets 来保存特定的包。只保存显示过滤器过滤后的包的具体方法如下:
先用显示过滤器过滤你要的包,然后 Wireshark 菜单栏中 File->Export Specified Packets
wireshark menu.png

Packet Range 中选择 Displayed,保存即可
wireshark export specified packets.png


除了只保存显示过滤器过滤后的包以外,还可以保存选中的包标记的包第一个到最后一个被标记的包自定义范围,具体方法就要根据自己的需要去研究啦~

标签: wireshark, 过滤器, 抓包

已有 2 条评论

  1. 小明 小明

    写的很好啊, 受益无穷

  2. 小明 小明

    很nice哦

添加新评论