简述
本文主要介绍如何通过wireshark导出你所需的数据包。
导出指定编号的数据包
以下方法适用于导出指定编号的数据包,不适合导出大量数据包。
1.选中法
用鼠标选中编号为1、3、5、7、9的数据包,然后在文件菜单中点击导出特定分组。在弹出的窗口中选择Selected packets only,然后输入文件名即可。 如图所示:
2.指定编号法
不需要选中数据包,直接在文件菜单中选择导出特定分组,在Range中输入1,3,5,7,9即可。
注意:编号之间用逗号隔开,中文逗号或英文逗号都可以,但不能中英文逗号混合输入。如图所示:
导出连续的数据包
以下适用于导出连续编号的数据包。
1.指定范围法
如果你想导出前100条数据包,使用导出特定分组非常方便。在Range中输入1-100即可。如图所示:
2.标记法
还有一种方式是通过数据包标记法导出连续数据包。分别对起始数据包和结束数据包做标记:
然后在文件菜单中点击导出特定分组,如图所示:
按需导出数据包
数据包内容 | 方法 |
物理端点 | 在显示过滤器中输入表达式:eth.addr == 62:a7:47:9a:58:de(例子),筛选出结果后,使用导出特定分组导出数据包。 |
IP端点 | 在显示过滤器中输入表达式:ip.addr == 192.168.1.1(例子),筛选出结果后,使用导出特定分组导出数据包。 |
TCP/UDP会话 | 针对TCP会话和UDP会话,输入表达式: tcp.stream eq X 或 udp.stream eq X 筛选出指定索引的会话,或者输入五元组表达式。筛选出结果后,使使用导出特定分组导出数据包。 |
IP会话 | 在显示过滤器中输入表达式: ip.src == 192.168.1.1 && ip.dst == 39.156.66.10(例子),筛选出指定会话后,使用导出特定分组导出数据包。 |
指定协议 | 举个例子,想导出ARP报文,在显示过滤器中输入:arp, 可以过滤出所有带ARP协议的报文,然后使用导出特定分组导出数据包。 |
指定协议属性 | 举个例子,想导出TCP带负载的报文,在显示过滤器中输入:tcp.payload,可以过滤出所有TCP带负载的报文,然后使用导出特定分组导出数据包。 |
总结
以上是导出数据包的常用方法了,其中显示过滤器是一个相当好用的功能,不仅可以帮助我们筛选出指定属性的数据包,还可以为分析网络故障提供帮助。
