第一篇：通信之WLAN(Wireshark介绍1)

     大家好，欢迎大家一起学习探讨通信之WLAN。借助工具分析实际工作中遇到的WLAN问题是很常见。因此，通信之WLAN系列课程会插入分享分析WLAN问题的相关工具的使用。经考虑为了方便区别，通信之WLAN系列课程以“第 * 节”编号；WLAN相关工具介绍以“第 * 篇”编号，括号内为工具名称。

    WLAN已介绍为“无线局域网”缩写，遇到WLAN网络相关问题经常需要抓取“网络层”的数据包和MAC层的“协议帧”。这里有个专业默认常识，通常将网络层及以上的传输数据以“某某包”，网络层以下常称作“某某帧”。

    好，本篇我们主要分享抓取WLAN网络层数据包利用Wireshark工具打开的问题。关于如何抓取WLAN设备网络层的数据包默认大家已了解。工作中经常会遇到因抓取的网络层数据包文件过大，导致无法打开或出现如图1问题。没有接触editcap工具时，会让我们袖手无策。Wireshark工具安装自带editcap工具，借助该工具即可解决遇到的问题。

                                                                                               图 1

editcap工具介绍

（1）工具配置：

    在电脑系统环境变量中对工具经配置。操作“电脑->属性->高级系统设置->环境变量->系统变量->新建->拷贝editcap工具的绝对路径”，点击确认完成。打开命令行终端，输入editcap即可出现如下图2所示：

                                                                                     图 2

（2）使用介绍

方法1：利用 -A 起始时间和 -B 截止时间，获取某时间段的数据包。

格式：editcap -A<起始时间>-B<截止时间><源文件名><目标文件名>

                                                                                                 图 3

    如图3所示，out_tcpdump.pcap即为我们要获取2018-01-01 08:08:25到2018-01-01 08:08:30时间段的数据包。

 

方法2：利用 -i 时间周期（单位：秒），获取固定周期时间段的数据包。

格式：editcap.exe -i <时间周期> <源文件名> <目标文件名>

                                                                                              图 4

    如图4所示，1min_tcpdump开头的文件，即为我们将tcpdump.pcap根据1分钟为周期，拆解所得文件。

 

方法3：利用 -c 文件数据包个数，获取包含固定数据包个数的文件。

格式：editcap.exe -c <数据包个数> <源文件名> <目标文件名>

                                                                                              图 5

    如图5所示，4000_pkg开头的文件，即为我们获取到的包含固定数据包个数的文件。

 

方法4：利用 -t 时间信息，获取将原数据包时间提前或移后的数据包文件。

格式：editcap.exe -t <time adjustment><源文件名><目标文件名>

操作命令："editcap -t 600 tcpdump.pcap 10min_tcpdump.pcap"

                                                                                               图 6

    如图6所示，我们将原始数据包时间戳以后10min获取得到的文件。

 

    本节我们探讨分享在利用wireshark工具无法打开过大的数据包文件，可借助editcap工具将源数据包文件拆解。同时，根据分析问题的需要，可还可对源数据包文件进行一系列操作满足自己的需要。editcap工具还支持其他对源文件操作功能，下来可继续自行研究。第一篇 wireshark工具介绍探讨就到此，后续期待共同继续探讨学习。