Wireshark-Ausschnitt
Ich habe meinen Netzwerkverkehr mit Wireshark mitgeschnitten. Die Ausgabe, die ich dabei erhalten habe, enthält viele Informationen, die zur Auswertung nicht benötigt werden und die ich nicht weitergeben möchte. Wie kann ich nur einen Ausschnitt (das zehnte bis zwanzigste Paket) des Protokolls speichern? Das Markieren von mehreren Paketen mit der Maus oder Tastatur wie in anderen Programmen ist leider nicht möglich.
Ich habe meinen Netzwerkverkehr mit Wireshark mitgeschnitten. Die Ausgabe, die ich dabei erhalten habe, enthält viele Informationen, die zur Auswertung nicht benötigt werden und die ich nicht weitergeben möchte. Wie kann ich nur einen Ausschnitt (das zehnte bis zwanzigste Paket) des Protokolls speichern? Das Markieren von mehreren Paketen mit der Maus oder Tastatur wie in anderen Programmen ist leider nicht möglich.
Um in einem Mitschnitt in Wireshark nur einen bestimmten Bereich zu zeigen, kann man die „frame number“ benutzen. Wenn Sie die Informationen von Zeile 10 bis 20 benötigen, tragen Sie in die Filterzeile
frame.number >= 10 && frame.number <= 20
ein.
Um jetzt diesen angezeigten Bereich zu speichern, wählen Sie im „Save As“-Dialog unten die Option „Displayed“ aus.
Wenn es nur darum geht, den Bereich von 10 bis 20 zu speichern und nicht vorher im Programmfenster zu filtern, dann können Sie auch das erste und letzte Paket mit der rechten Maustaste markieren (Mark Packet) und anschließend im „Save As“-Dialog „first to last marked“ auswählen.
Um aus einer gespeicherten .pcap-Datei einen Teil auszuschneiden, ohne sie vorher in Wireshark zu laden, eignet sich das Kommandozeilentool tshark.exe, welches im Wireshark-Verzeichnis zu finden ist.
tshark.exe -r test.pcap -R „frame.number >= 10 &&
frame.number <= 20“ --w test2.pcap
Mit der Option --r öffnet man die vorhandene Datei, mit --R übergibt man die gewünschten Filter-Parameter. Das Ergebnis schriebt man dann mit --w in eine neue Datei. (ha)
