wireshark保存部分报文的方法

抓包时采用下列两种命令:

tcpdump –s 0 –i eth0 host IP1 and IP2 and port 5060 and 5080 –v –w file1.pcap

tcpdump –s 0 –i eth0 host IP1 –v –w file2.pcap

很显然在同样的时间里第1种抓包所得的file1.pcap的大小远小于file2.pcap的大小。

wireshark如何只保存显示过滤器筛选的部分报文?抓包时没有严格设置过滤条件,导致文件过大,如何只保存想要的部分?

这里介绍几种方法,都是通过File—Save As来完成的:

1、先用filter进行过滤,然后File——Save As,Packet Range里面选择Displayed,然后保存。

2、如果想保存从第2001个到第3000个这1000个包,可以在2001个包上点右键选择Mark Packet(toggle),在第3000个包上点右键选择Mark Packet(toggle),然后File——Save As,Packet Range里面,选择First to last marked,然后保存。或者不用标记,保存的时候选择Range,填上:2001-3000,然后保存。

3、如果只想保存几个特定的包,也可以在你要的每个Packet上点右键,选择Mark Packet(toggle),然后File——Save As,Packet Range里面选择Marked packets,然后保存。

时间: 2024-10-12 18:37:34

wireshark保存部分报文的方法的相关文章

一种基于uCos-II操作系统和lwIP协议栈的IEEE-1588主站以及基于该主站的报文处理方法

本发明公开了一种基于uCos‐II操作系统和lwIP协议栈的IEEE‐1588主站以及应用于电力系统的支持IEEE‐1588协议的主时钟(IEEE‐1588主站)的实现方法.该方法是在一个低成本的硬件平台上,借助uCos‐II操作系统和TCP/IP的协议栈,对以太网数据进行了分类处理,实现了在同一个以太网端口提供基于二层和三层报文交换的IEEE‐1588的主站功能.另外,通过使用不同的操作系统进程来处理E2E和P2P对时,实现了两种对时模式在同一端口上的共存. 技术领域 [0001] 本发明属于

wireshark精确到字节的过滤方法

wireshark本身提供很多过滤方法,常用的比如根据ip.mac.通信协议等方式来过滤报文.但我一直觉得下面描述的这种过滤方式十分好用,灵活.简便且适用范围广. 这种方式可以过滤报文中的任何一个字节,以dhcp报文为例: 我只想统计discover报文数量,那就针对packet type这一个字段过滤.该字段在42个字节后面1个字节(即第43字节),discover报文类型是1,所以我们只需要输入frame[42:1]==01就好了. ? offer给用户分配IP,我需要查看分配192.168

php实现上传图片保存到数据库的方法

http://www.jb51.net/article/61034.htm 作者:傲雪星枫 字体:[增加 减小] 类型:转载 这篇文章主要介绍了php实现上传图片保存到数据库的方法,可通过将图片保存在数据库实现多台服务器共享文件的功能,非常具有实用价值,需要的朋友可以参考下 php实现上传图片保存到数据库的方法.分享给大家供大家参考.具体分析如下: php 上传图片,一般都使用move_uploaded_file方法保存在服务器上.但如果一个网站有多台服务器,就需要把图片发布到所有的服务器上才能

ASP.NET下载远程图片保存到本地的方法、保存抓取远程图片

ASP.NET下载远程图片保存到本地的方法.保存抓取远程图片 2012-05-16 11:25:51     我来说两句      收藏    我要投稿 以下介绍两种方法:1.利用WebRequest,WebResponse 类WebRequest wreq=WebRequest.Create("http://up.2cto.com/2012/0516/20120516112717995.gif");    HttpWebResponse wresp=(HttpWebResponse)

Wireshark对ping报文的解码显示(BE与LE) 转自作者:易隐者

Wireshark对ping报文的解码显示(BE与LE) 我们非常熟悉ping报文的封装结构,但是,在这个报文解码里,我们发现wireshark的解码多了几个参数:Identifier(BE).Identifier(LE).Sequence number(BE).Sequence number(LE),如下图所示: 以前一直未注意wireshark是这样解码ping报文的,感觉非常奇怪,我们先来仔细的看一下wireshark对ping报文中这几个参数的解码情况: Wireshark解码显示,Id

delphi开发实例:保存字体设置的方法

http://blog.csdn.net/delphi308/article/details/9906147 delphi开发实例:保存字体设置的方法 2013-08-11 22:37 446人阅读 评论(0) 收藏 举报  分类: Delphi(59)  记得一年前软件里面用到字体设置时,想把字体信息保存到配置文件里面都是把相应的属性分开来保存一下,这样一直使用,最近想delphi自己的dfm文件也同样会保存这些信息,它又是怎样保存的呢.. 用记事本打开dfm文件会看到类似这样的文本: obj

php使用cookie保存登录用户名的方法

php使用cookie保存登录用户名的方法 2015-01-26 11:03:13  www.hackbase.com  来源:互联网 提交表单页面复制代码代码如下:<?php$user = isset($_COOKIE['username'])?$_COOKIE['username']:'';?><form action="file.php" method="post">用户名:<input type="text"

保存wave音频流的方法

保存到文件: void saveToFile(String filename, ByteBuffer buffer) { byte[] bytes = buffer.array(); OutputStream outStream = null; try { File file = new File(filename); String directory = file.getParent(); if(Files.notExists(Paths.get(directory))) { Files.cr

删除在wireshark中保存的filter的方法

现在想删除下图的filter,方法是:Edit->preferences->Filter Expressions