抓包時采用下列兩種命令:
tcpdump –s 0 –i eth0 host IP1 and IP2 and port 5060 and 5080 –v –w file1.pcap
與
tcpdump –s 0 –i eth0 host IP1 –v –w file2.pcap
很顯然在同樣的時間里第1種抓包所得的file1.pcap的大小遠小於file2.pcap的大小。
wireshark如何只保存顯示過濾器篩選的部分報文?抓包時沒有嚴格設置過濾條件,導致文件過大,如何只保存想要的部分?
這里介紹幾種方法,都是通過File—Save As來完成的:
1、先用filter進行過濾,然后File——Save As,Packet Range里面選擇Displayed,然后保存。
2、如果想保存從第2001個到第3000個這1000個包,可以在2001個包上點右鍵選擇Mark Packet(toggle),在第3000個包上點右鍵選擇Mark Packet(toggle),然后File——Save As,Packet Range里面,選擇First to last marked,然后保存。或者不用標記,保存的時候選擇Range,填上:2001-3000,然后保存。
3、如果只想保存幾個特定的包,也可以在你要的每個Packet上點右鍵,選擇Mark Packet(toggle),然后File——Save As,Packet Range里面選擇Marked packets,然后保存。