Когда я открываю меню «Файл» в Wireshark, оба эталона «Сохранить» и «Сохранить как» неактивны, и нажатие на них ничего не делает:
Я хочу сохранить подмножество пакетов из файла .cap (который был экспортирован из Microsoft Message Analyzer v1.4, который был первоначально захвачен netsh).
Я пробовал:
В документации по функции «Сохранить как» не упоминается, в каких ситуациях эта опция неактивна и недоступна.
Кто-нибудь знает, что происходит?
Свойства файла захвата:
Created by Wireshark 2.6.5 (v2.6.5-0-gf766965a) File Name: C:\Users\user\Downloads\NetTrace - Copy.cap Length: 11 MB Format: Microsoft NetMon 2.x Encapsulation: Ethernet Time First packet: 2018-11-30 09:06:17 Last packet: 2018-11-30 09:19:04 Elapsed: 00:12:46 Capture Hardware: Unknown OS: Unknown Application: Unknown Interfaces Interface Dropped packets Capture filter Link type Packet size limit Wireless Network Connection Unknown none Ethernet 262144 bytes Statistics Measurement Captured Displayed Marked Packets 56200 191 (0.3%) — Time span, s 766.877 360.633 — Average pps 73.3 0.5 — Average packet size, B 178 346 — Bytes 10015936 66086 (0.7%) 0 Average bytes/s 13 k 183 — Average bits/s 104 k 1466 — Вы не можете сделать это из самого Wireshark.
Используйте программу editcap, которая является консольной программой, которая устанавливается вместе с Wireshark.
Например, чтобы получить все пакеты с номера 1-500 (включительно) используйте:
editcap -r capture.pcap first500.pcap 1-500