Wireshark高级技巧

包的拼接与任意拆解

利用wireshark即可以非常容易地使用包的拼接与拆解功能，该功能可以应用到以下情况

? 在有时候即使使用捕捉过滤器也抓到了很多自己不需要的包，自己想提取里面一部

分或几部分的包

? 在有时候自己在不同时间或者不同地点的抓取的几个包想拼凑成一个包。 ? 其他特殊情况。

? 功能使用步骤

一、 包的拼接

1) 用wireshark打一个需要拼接的包

2) 点击Wireshark的File->Merge，然后选中一个将要被拼接的包，在该对话框下面设置接

接方式和显示过滤器等。如图：

说明：

Prepend packets to existing find：将包拼接在当前包的前面

Merge packets chronologically：将包按时间顺序插入到当前包中 Append packets to existing file：将包拼接在当前包的后面

二、 包的拆解

1) 用wireshark打开一个需要拆解的包文件

2) 打开菜单File->Save as，可以看到对话框下面有一些保存选项，即Packet Range，这里

可以定义按什么样的方将包拆解成自己想要的包。选好后填好文件名保存即可完成拆解。

说明：

? All packets：所有包

? Selected packet：选中的包

? Marked packets：做了标记的包

? First to last marked：从第一个标记的包到最后一个标记的包 ? Range：选择范围，支持多个范围，不同范围中间用逗号连接 ? Captured：已捕获的包，未加显示过滤器的限制时的包个数 ? Displayed：已显示的包，加了显示过滤器的限制时的包个数

? 使用实例

1) 仅拆解出过滤出来的包

假如我们有一些包仅想将里面满足过滤器条件的包拆解出来，那么我们先在显示过滤器里面设置好过滤器，然后“Save as”的时候选择All packets的Displayed选项就可以只保存我们在过滤器里面显示的包了。这里以只拆解出sip协议包为例，如图：

从图中可以看出，经过这样设置后我们只保存了满足条件的130个包了。

2) 仅拆解出选中的包

首先我们要在抓到的包里面选中我们想要拆解出来的包，选中一个包只需用鼠标左键单击该包即可，就是这么简单。

然后“Save as”的时候选择Selected packet的选项就可以只保存我们选中的包了。

3) 仅拆解出做了标记的包

给一个包做标记非常简单，只需右键单击一个包，然后选择Mark Packet即可，可以通过多次标记来标记多个包

标记好然后“Save as”的时候选择Marked packet的选项就可以只保存我们做了标记的包了。

4) 仅拆解出从第一个标记的包到最后一个标记的包

设置好第一个标记的包和最后一个标记的包，然后在保存的时候选择First to last marked即可拆解出该范围里的包了。