在使用wireshark(或者linux系统下tcpdump)进行网络数据抓取时，有时候因为抓取时间较长会使得产生的抓包文件比较大，有可能我们所抓取的有效数据包出现在很多无效数据包之后产生，这样会存在分析不便的情况，我们可以尝试这将抓取的数据包进行相应的拆分处理以提取出有效数据包。

方法一、使用wireshark自带的editcap.exe工具来实现分包操作

1、找到wireshark的安装目录，在此目录下打开命令行窗口(当前目录空白处，按住Shift键后点击鼠标右键 ->  “在此处打开目录窗口”)

   

 2、执行editcap.exe-c 30 D:\802.1x认证过程.pcap D:\train.pcap

         说明： editcap.exe-c num sourcefile destfile

         -c  num           每个拆分文件的数据帧数

         sourcefile         源文件

         destfile             目标文件

3、执行上述操作后可以看到源pcap文件被分割成多个pcap文件

 

方法二、使用wireshark导出特定分组来实现特定包提取

1、打开待分包的pcap文件

此处我们所关心的数据包是78-83号数据。

2、点击菜单栏的 File-> Export Specified Packets

3、在弹出的Export SpecifiedPackets对话框中，输入待生成的包文件，在Packet Range中选择”Range”,并在其的输入框中输入”78-83”（注意此处的输入格式必须如此）。点击保存按钮。

 

4、至此我们完成pcap文件特定包的提取，并在选定的文件夹下看到所生成的包文件。

打卡这个包文件，将会只有我们所提取出的特定数据包了