wireshark怎样只保留我过滤规则中选出的数据包??

number321

有时候在几万十几万的数据包中,我只要其中的很少一部分


我想问一下,能不能达到这个效果:

就是在抓包的时候,有很多来自己不同IP的数据包,我想选出和某个IP有关的数据包
那么我写ip.addr==XX.XX.XX.XX ,然后没被选中的,有没有办法选择直接丢弃
然后我再分析我选中的这个IP,比如可以写  http.request ,那么就是找这个IP有关的http请求


目前好像只能这样,就是要找和来自这个IP的http请求,必须写ip.addr==XX.XX.XX.XX  and http.request
然后wireshark会有所有抓到的数据包中选一遍,我再写一个规则,就再在所有数据包中选一遍
保存的时候,也会把所有数据包都保存.
这样的话,每次的筛选操作很慢,而且保存的文件也很大

pulic

在wireshark中有这个一个功能。它可以把你显示出来的数据包给保存下来。

也就是说，当你把ip.addr==XX.XX.XX.XX这样的一个过滤规则写出来后。这些过滤的包会显示出来。然后你可以把这些显示的包给保存下来。供你下次分析。

number321

原帖由 pulic 于 2009-7-14 10:09 发表
在wireshark中有这个一个功能。它可以把你显示出来的数据包给保存下来。

也就是说，当你把ip.addr==XX.XX.XX.XX这样的一个过滤规则写出来后。这些过滤的包会显示出来。然后你可以把这些显示的包给保存下来。 ...

怎样保存呢，file--save里保存的是所有数据包，怎样保存筛选出来的数据包呢

cnadl

gui 选save as之后有个packet range