WLAN已介紹為“無線局域網(wǎng)”縮寫，遇到WLAN網(wǎng)絡(luò)相關(guān)問題經(jīng)常需要抓取“網(wǎng)絡(luò)層”的數(shù)據(jù)包和MAC層的“協(xié)議幀”。這里有個(gè)專業(yè)默認(rèn)常識(shí)，通常將網(wǎng)絡(luò)層及以上的傳輸數(shù)據(jù)以“某某包”，網(wǎng)絡(luò)層以下常稱作“某某幀”。

好，本篇我們主要分享抓取WLAN網(wǎng)絡(luò)層數(shù)據(jù)包利用Wireshark工具打開的問題。關(guān)于如何抓取WLAN設(shè)備網(wǎng)絡(luò)層的數(shù)據(jù)包默認(rèn)大家已了解。工作中經(jīng)常會(huì)遇到因抓取的網(wǎng)絡(luò)層數(shù)據(jù)包文件過大，導(dǎo)致無法打開或出現(xiàn)如圖1問題。沒有接觸editcap工具時(shí)，會(huì)讓我們袖手無策。Wireshark工具安裝自帶editcap工具，借助該工具即可解決遇到的問題。

圖 1

editcap工具介紹

（1）工具配置：

在電腦系統(tǒng)環(huán)境變量中對工具進(jìn)行配置。操作步驟“電腦->屬性->高級(jí)系統(tǒng)設(shè)置->環(huán)境變量->系統(tǒng)變量->新建->拷貝editcap工具的絕對路徑”，點(diǎn)擊確認(rèn)完成。打開命令行終端，輸入editcap即可出現(xiàn)如下圖2所示：

圖 2

（2）使用介紹

方法1：利用 -A 起始時(shí)間和 -B 截止時(shí)間，獲取某時(shí)間段的數(shù)據(jù)包。

格式：editcap -A<起始時(shí)間>-B<截止時(shí)間><源文件名><目標(biāo)文件名>

圖 3

如圖3所示，out_tcpdump.pcap即為我們要獲取2018-01-01 08:08:25到2018-01-01 08:08:30時(shí)間段的數(shù)據(jù)包。

方法2：利用 -i 時(shí)間周期（單位：秒），獲取固定周期時(shí)間段的數(shù)據(jù)包。

格式：editcap.exe -i <時(shí)間周期> <源文件名> <目標(biāo)文件名>

圖 4

如圖4所示，1min_tcpdump開頭的文件，即為我們將tcpdump.pcap根據(jù)1分鐘為周期，拆解所得文件。

方法3：利用 -c 文件數(shù)據(jù)包個(gè)數(shù)，獲取包含固定數(shù)據(jù)包個(gè)數(shù)的文件。

格式：editcap.exe -c <數(shù)據(jù)包個(gè)數(shù)> <源文件名> <目標(biāo)文件名>

圖 5

如圖5所示，4000_pkg開頭的文件，即為我們獲取到的包含固定數(shù)據(jù)包個(gè)數(shù)的文件。

方法4：利用 -t 時(shí)間信息，獲取將原數(shù)據(jù)包時(shí)間提前或移后的數(shù)據(jù)包文件。

格式：editcap.exe -t <源文件名><目標(biāo)文件名>

操作命令："editcap -t 600 tcpdump.pcap 10min_tcpdump.pcap"

圖 6

如圖6所示，我們將原始數(shù)據(jù)包時(shí)間戳以后10min獲取得到的文件。

本節(jié)我們探討分享在利用wireshark工具無法打開過大的數(shù)據(jù)包文件，可借助editcap工具將源數(shù)據(jù)包文件拆解。同時(shí)，根據(jù)分析問題的需要，還可對源數(shù)據(jù)包文件進(jìn)行一系列操作滿足自己的需要。

審核編輯：劉清