你的核心问题分析 #

你当前的操作思路走了弯路，还犯了两个关键错误：

1. 错误的输出格式选择：你用-V -x -q参数让tshark输出的是人类可读的数据包解析文本（包含字段说明、十六进制与ASCII对照内容），并非原始数据包字节流。手动从这种文本里提取十六进制字符，不仅容易漏字节、混入无效字符，更关键的是——你丢失了pcap文件必需的文件头（标识pcap格式的魔术字、版本信息）和每个数据包的元数据包头（时间戳、捕获长度、实际长度），这直接导致Wireshark无法识别文件格式，误判为JSON。
2. 误解了tshark的保存能力：你以为tshark保存时不支持显示过滤器，其实完全可以直接用显示过滤器过滤后输出合法的pcap文件，根本不需要手动处理十六进制转换。

最简单的解决方案：直接用tshark生成合法cap文件 #

直接让tshark过滤后写入pcap文件，一步到位，命令如下：

tshark -i wlan2 -Y "radiotap.channel.freq > 2400 && radiotap.channel.freq < 2500" -w filename.cap

• -Y：指定你需要的显示过滤器规则
• -w filename.cap：将过滤后的数据包以标准pcap格式写入目标文件

执行完这个命令后，直接用Wireshark打开filename.cap，就能正常查看所有过滤后的数据包了。

如果需要用Python自动化处理 #

如果因为自动化需求必须用Python调用tshark，可以让tshark把过滤后的pcap数据流输出到标准输出，再由Python写入文件，代码如下：

import subprocess

# 构建tshark命令：指定网卡、显示过滤器，输出到stdout
tshark_command = [
    "tshark",
    "-i", "wlan2",
    "-Y", "radiotap.channel.freq > 2400 && radiotap.channel.freq < 2500",
    "-w", "-"  # "-"表示将结果输出到标准输出
]

# 打开文件并写入tshark的输出
with open("filename.cap", "wb") as cap_file:
    # 启动tshark进程，将stdout重定向到文件
    process = subprocess.Popen(tshark_command, stdout=cap_file)
    # 等待进程结束
    process.wait()

这个方法完全避免了手动解析文本的错误，直接获取tshark输出的标准pcap格式数据。

补充说明：捕获过滤器vs显示过滤器 #

如果你的过滤规则可以用捕获过滤器实现（更高效，减少抓包量），可以用-f参数代替-Y，比如：

tshark -i wlan2 -f "freq-range 2401 2499" -w filename.cap

不过捕获过滤器的语法比显示过滤器受限，如果你需要更复杂的过滤逻辑，还是用-Y更灵活。

内容的提问来源于stack exchange，提问作者Vladimír