WLAN已介紹為“無線局域網”縮寫，遇到WLAN網絡相關問題經常需要抓取“網絡層”的數據包和MAC層的“協議幀”。這里有個專業默認常識，通常將網絡層及以上的傳輸數據以“某某包”，網絡層以下常稱作“某某幀”。

好，本篇我們主要分享抓取WLAN網絡層數據包利用Wireshark工具打開的問題。關于如何抓取WLAN設備網絡層的數據包默認大家已了解。工作中經常會遇到因抓取的網絡層數據包文件過大，導致無法打開或出現如圖1問題。沒有接觸editcap工具時，會讓我們袖手無策。Wireshark工具安裝自帶editcap工具，借助該工具即可解決遇到的問題。

圖 1

editcap工具介紹

（1）工具配置：

在電腦系統環境變量中對工具進行配置。操作步驟“電腦->屬性->高級系統設置->環境變量->系統變量->新建->拷貝editcap工具的絕對路徑”，點擊確認完成。打開命令行終端，輸入editcap即可出現如下圖2所示：

圖 2

（2）使用介紹

方法1：利用 -A 起始時間和 -B 截止時間，獲取某時間段的數據包。

格式：editcap -A<起始時間>-B<截止時間><源文件名><目標文件名>

圖 3

如圖3所示，out_tcpdump.pcap即為我們要獲取2018-01-01 08:08:25到2018-01-01 08:08:30時間段的數據包。

方法2：利用 -i 時間周期（單位：秒），獲取固定周期時間段的數據包。

格式：editcap.exe -i <時間周期> <源文件名> <目標文件名>

圖 4

如圖4所示，1min_tcpdump開頭的文件，即為我們將tcpdump.pcap根據1分鐘為周期，拆解所得文件。

方法3：利用 -c 文件數據包個數，獲取包含固定數據包個數的文件。

格式：editcap.exe -c <數據包個數> <源文件名> <目標文件名>

圖 5

如圖5所示，4000_pkg開頭的文件，即為我們獲取到的包含固定數據包個數的文件。

方法4：利用 -t 時間信息，獲取將原數據包時間提前或移后的數據包文件。

格式：editcap.exe -t <源文件名><目標文件名>

操作命令："editcap -t 600 tcpdump.pcap 10min_tcpdump.pcap"

圖 6

如圖6所示，我們將原始數據包時間戳以后10min獲取得到的文件。

本節我們探討分享在利用wireshark工具無法打開過大的數據包文件，可借助editcap工具將源數據包文件拆解。同時，根據分析問題的需要，還可對源數據包文件進行一系列操作滿足自己的需要。

審核編輯：劉清