wireshark 報文分析---根據時間（Arrival Time）過濾報文

wireshark 報文分析—根據時間（Arrival Time）過濾報文

前言

在進行報文分析時，會需要使用時間過濾報文，比如30min 到 35min之間的報文，或50s之後的報文，這時就需要使用根據時間進行過濾報文；

過濾方法

以mac 版wireshark爲例，選取報文Frame層中的Arrival Time（到達時間），使用該字段作爲過濾器條件進行過濾，由於在wireshark 軟件中顯示的時間字段是比較多的，然而其他字段是不便過濾的，所以需要注意選擇對應字段；

選擇該字段後，右鍵選擇：“Apply as Filter” 或 “Prepare as Filter”，即應用過濾器或準備過濾器，會生成對應的過濾條件：

frame.time == "May 27, 2019 15:23:57.932344000"

這裏可以進行根據需求修改對應的條件，
例如：
1、過濾15:23:57 s 這一秒之後的報文，過濾條件可寫爲：

frame.time >= "May 27, 2019 15:23:57.0"

2、過濾15:23:57 s ---- 15:23:58 s 這一秒內的報文，過濾條件可寫爲：

frame.time >= "May 27, 2019 15:23:57.0" && frame.time < "May 27, 2019 15:23:58.0"