? \前的“+”按钮可以让你指定文件保存的位置。。 图 5.6. 旧版GTK下的保存为对话框 Unix/Linux: GTK version < 2.4 / Microsoft Windows (GTK1 installed) gimp/gnome桌面环境,或windows gtk1下的的。 通过这些对话框,你可以执行如下操作:
1. 输入你指定的文件名。 2. 选择保存的目录
3. 选择保存包的范围,见第 5.8 节 “包范围选项”
4. 通过点击\文件类型\下拉列表指定保存文件的格式。见???
可供选中的文件格式可能会没有那么多
有些类型的捕捉格式可能不可用,这取决于捕捉包的类型。
可以直接保存为另一种格式。
你可以以一种格式读取捕捉文件,保存时使用另外一种格式(这句可能翻译有误。)
5. 点击\按钮保存。如果保存时遇到问题,会出现错误提示。确认那个错误提示以后,你可以重试。 6. 点击\按钮退出而不保存捕捉包。
5.3.2. 输出格式
可以将Wireshark不着的包保存为其原生格式文件(libpcap),也可以保存为其他格式供其他工具进行读取分析。
各文件类型之间的时间戳精度不尽相同
将当前文件保存为其他格式可能会降低时间戳的精度,见第 7.3 节 “时间戳”
Wireshark可以保存为如下格式。
? ? ? ? ? ? ? ? ? ?
libpcap, tcpdump and various other tools using tcpdump's capture format (*.pcap,*.cap,*.dmp) Accellent 5Views (*.5vw)
HP-UX's nettl (*.TRC0,*.TRC1)
Microsoft Network Monitor - NetMon (*.cap)
Network Associates Sniffer - DOS (*.cap,*.enc,*.trc,*fdc,*.syc) Network Associates Sniffer - Windows (*.cap) Network Instruments Observer version 9 (*.bfr) Novell LANalyzer (*.tr1) Sun snoop (*.snoop,*.cap)
Visual Networks Visual UpTime traffic (*.*)
5.4. 合并捕捉文件
有时候你需要将多个捕捉文件合并到一起。例如:如果你对多个接口同时进行捕捉,合并就非常有用(Wireshark实际上不能在同一个实体运行多次捕捉,需要开启多个Wireshark实体) 有三种方法可以合并捕捉文件:
从\菜单使用,menu item \菜单项 \合并\,打开合并对话框,见第 5.4.1 节 “合并文件对话框”
? 使用拖放功能,将多个文件拖放到主窗口。Wireshark会创建一个临时文件尝试对拖放的文件按时间顺序进行合并。如果你只拖放一个文件,Wireshark可能(只是)简单地替换已经打开的文件。
? 使用mergecap工具。该工具是在命令行进行文件合并的。它提供了合并文件的丰富的选项设置。见???
?
5.4.1. 合并文件对话框
通过该对话框可以选择需要合并的文件,并载入合并它们。
首先你会被提示有一个文件未保存
如果当前文件未保存,Wireshark会在启动合并对话框之前提示你是否保存文件。
此处的对话框的大多数内容与\Capture Files/打开捕捉文件\对话框类似,参见第 5.2.1 节 “打开捕捉文件对话框”
合并对话框中用于合并的控制选项: 将包插入已存在文件前
将选择文件内的包插入到当前已经载入文件之前 按时间顺序合并文件
将当前选择的文件和已载入的文件里的所有包按时间顺序合并 追加包到当前文件
将选择文件的包插入到当前载入文件的末尾 表 5.3. 不同环境下的\对话框
图 5.7. Windows下的\合并\对话框 Microsoft Windows(GTK2 installed) 此对话框一般都带有一些wireshark扩展 图 5.8. 新版GtK下的合并话框 Unix/Linux:GTK version >= 2.4 这是在Gimp/GNOME桌面环境下的合并对话框 图 5.9. 旧版GTK下的合并对话框 Unix/Linux: GTK version < 2.4 / Microsoft Windows (GTK1 installed) 5.5. 文件集合
在进行捕捉时(见:第 4.6 节 “捕捉文件格式、模式设置”)如果设置\Files/多文件\选项,捕捉数据会分割为多个文件,称为文件集合.
大量文件手动管理十分困难,Wirreshark的文件集合特性可以让文件管理变得方便一点。 Wireshark是如何知道一个文件所属的文件集合t的?
文件集合中的文件名以前缀号码+\号码+\日期时间+后缀的形式生成的。类似于:
\文件集合所有的文件都有一个共同的前缀(例如前面的\和后缀(例如:\以及变化的中间部分。
要查找一个文件集合的所有文件。Wireshark会扫描当前载入文件的目录下的所有文件,找到那些和当前文件名具有相同部分(前缀和后缀)的作为文件集合。
这个简单的机制通常能正常运行,但也有它的弊端。如果几次进行的捕捉具有相同的前缀和后缀,Wireshark会将它们看作同一个文件集合。如果文件被更名或者放在不同的目录下,这样的按文件名查找机制会无法找到文件集合的所有文件。
使用\菜单项的子菜单\可以对文件集合集合进行很方便的控制。
List Files 对话框显示一个对话框列出所有被识别出来属于当前文件集合的文件列表。 ? Next Files 关闭当前文件,打开文件集合列表中的下一个文件。
? Previous Files 关闭当前文件,打开文件集合列表中的前一个文件。
?
5.5.1. 文件列表对话框
图 5.10. 文件列表对话框
每行包含文件集合中的一个文件的相关信息。
Filename 文件名称。如果你双击文件名称(或者单击单选钮),当前文件会被关闭,同时载入对应的文件。 ? Created 文件创建时间。
? Last Modified 最后一次修改文件的时间。 ? size 文件的大小。
?
最后一行\显示所有文件所在的目录。 在每次捕捉文件被打开、关闭时,对话框的内容会变化。 Close按钮关闭该对话框。
5.6. 导出数据
Wireshark支持多种方法,多种格式导出包数据,本节描述Wireshark常见的导出包数据方法。
注意
个别数据需要使用许多特殊方式导出,在合适的时候我们会对其进行介绍。
XXX - add detailed descriptions of the output formats and some sample output, too./同样需要对导出格式进行介绍,同样也需要一些范例范例
5.6.1. \对话框
导出包数据为\Ⅱ \文本文本见,适合打印包数据。
图 5.11. \对话框
Export to file:导出包数据为指定的文件 ? Packet Range 参见第 5.8 节 “包范围选项” ? Packet Details 参见???
?
5.6.2. \对话框
导出数据为PostScript格式,PostScript是一种打印格式。
提示
PostScribt文件可以使用ghostscrip转换为PDF格式。例如导出文件名为foo.ps,然后调用ps2pdf foo.ps命令就可以进行转换。
图 5.12. \对话框
Export to file: 导出包数据为指定的文件 ? Packet Range: 参见第 5.8 节 “包范围选项” ? Packet Details: 参见???
?
5.6.3. \对话框
注:笔者认为此处应该增加截屏,因为我的xp下界面与前图风格迥异,这里就不提供了 导出包的摘要为CVS格式,可以被电子表格程序使用。