Wireshark 导出特定分组

简述 

        本文主要介绍如何通过wireshark导出你所需的数据包。

导出指定编号的数据包

        以下方法适用于导出指定编号的数据包，不适合导出大量数据包。

1.选中法

        用鼠标选中编号为1、3、5、7、9的数据包，然后在文件菜单中点击导出特定分组。在弹出的窗口中选择Selected packets only，然后输入文件名即可。 如图所示：

2.指定编号法

        不需要选中数据包，直接在文件菜单中选择导出特定分组，在Range中输入1,3,5,7,9即可。

注意：编号之间用逗号隔开，中文逗号或英文逗号都可以，但不能中英文逗号混合输入。如图所示：

 

导出连续的数据包 

        以下适用于导出连续编号的数据包。

1.指定范围法

         如果你想导出前100条数据包，使用导出特定分组非常方便。在Range中输入1-100即可。如图所示：

2.标记法

         还有一种方式是通过数据包标记法导出连续数据包。分别对起始数据包和结束数据包做标记：

然后在文件菜单中点击导出特定分组，如图所示：

按需导出数据包

数据包内容	方法
物理端点	在显示过滤器中输入表达式：eth.addr == 62:a7:47:9a:58:de（例子），筛选出结果后，使用导出特定分组导出数据包。
IP端点	在显示过滤器中输入表达式：ip.addr == 192.168.1.1（例子），筛选出结果后，使用导出特定分组导出数据包。
TCP/UDP会话	针对TCP会话和UDP会话，输入表达式： tcp.stream eq X 或 udp.stream eq X 筛选出指定索引的会话，或者输入五元组表达式。筛选出结果后，使使用导出特定分组导出数据包。
IP会话	在显示过滤器中输入表达式： ip.src == 192.168.1.1 && ip.dst == 39.156.66.10（例子），筛选出指定会话后，使用导出特定分组导出数据包。
指定协议	举个例子，想导出ARP报文，在显示过滤器中输入：arp， 可以过滤出所有带ARP协议的报文，然后使用导出特定分组导出数据包。
指定协议属性	举个例子，想导出TCP带负载的报文，在显示过滤器中输入：tcp.payload，可以过滤出所有TCP带负载的报文，然后使用导出特定分组导出数据包。

总结

        以上是导出数据包的常用方法了，其中显示过滤器是一个相当好用的功能，不仅可以帮助我们筛选出指定属性的数据包，还可以为分析网络故障提供帮助。