通信WLAN之editcap工具介绍

WLAN已介绍为“无线局域网”缩写，遇到WLAN网络相关问题经常需要抓取“网络层”的数据包和MAC层的“协议帧”。这里有个专业默认常识，通常将网络层及以上的传输数据以“某某包”，网络层以下常称作“某某帧”。

好，本篇我们主要分享抓取WLAN网络层数据包利用Wireshark工具打开的问题。关于如何抓取WLAN设备网络层的数据包默认大家已了解。工作中经常会遇到因抓取的网络层数据包文件过大，导致无法打开或出现如图1问题。没有接触editcap工具时，会让我们袖手无策。Wireshark工具安装自带editcap工具，借助该工具即可解决遇到的问题。

图 1

editcap工具介绍

（1）工具配置：

在电脑系统环境变量中对工具进行配置。操作步骤“电脑->属性->高级系统设置->环境变量->系统变量->新建->拷贝editcap工具的绝对路径”，点击确认完成。打开命令行终端，输入editcap即可出现如下图2所示：

图 2

（2）使用介绍

方法1：利用 -A 起始时间和 -B 截止时间，获取某时间段的数据包。

格式：editcap -A<起始时间>-B<截止时间><源文件名><目标文件名>

图 3

如图3所示，out_tcpdump.pcap即为我们要获取2018-01-01 08:08:25到2018-01-01 08:08:30时间段的数据包。

方法2：利用 -i 时间周期（单位：秒），获取固定周期时间段的数据包。

格式：editcap.exe -i <时间周期> <源文件名> <目标文件名>

图 4

如图4所示，1min_tcpdump开头的文件，即为我们将tcpdump.pcap根据1分钟为周期，拆解所得文件。

方法3：利用 -c 文件数据包个数，获取包含固定数据包个数的文件。

格式：editcap.exe -c <数据包个数> <源文件名> <目标文件名>

图 5

如图5所示，4000_pkg开头的文件，即为我们获取到的包含固定数据包个数的文件。

方法4：利用 -t 时间信息，获取将原数据包时间提前或移后的数据包文件。

格式：editcap.exe -t <源文件名><目标文件名>

操作命令："editcap -t 600 tcpdump.pcap 10min_tcpdump.pcap"

图 6

如图6所示，我们将原始数据包时间戳以后10min获取得到的文件。

本节我们探讨分享在利用wireshark工具无法打开过大的数据包文件，可借助editcap工具将源数据包文件拆解。同时，根据分析问题的需要，还可对源数据包文件进行一系列操作满足自己的需要。

审核编辑：刘清