Wireshark使用教程：[4]文件输出与输入

1、抓包文件的保存保存捕捉文件时可以通过File——Save As…菜单或选择住工具栏保存捕捉文件。通过对话框，可以执行如下操作：1． 输入指定的文件名。2． 选择保存的目录。3． 选择保存包的范围。4． 通过点击file type/文件类型下拉表指定保存文件的格式。5． 点击Save/OK 按钮保存。如果保存时遇到问题，会出现错误提示。6． 点击Cancel 按钮退出而不保存捕捉包。wireshark 捕捉的包可以保存为其原生格式文件（libpcap），也可以保存为其他格式供其他工具进行读取分析。Wireshark 可以保存为如下格式：Libpcap, tcpdump and various other tools using tcpdump’s captureformat (*.pcap, *.cap, *.dmp) Accellent 5Views (*.5vw) HP-UX’s nettle (*.TRCO, TRC1) Microsoft Network Monitor—NetMon (*.cap) Network Associates Sniffer—DOS (*.cap, *.enc, *trc, *.fdc, *.syc) Network Associates Sniffer—Windows (*.cap) Network Instruments Observer version 9 (*.bfr) Novell LANalyzer(*.tr1) Sun snoop(*.snoop,*.cap) Visual Networks Visual UpTime traffic (*.*)

2、wireshark 捕捉文件输入Wireshark 可以读取以前保存的文件，想读取这些文件，只需选择菜单或工具栏的：―File/ Open‖。Wireshark 将会弹出打开文件对话框。常见对话框行为： 选择文件和目录 点击Open/OK 按钮，选择你需要的文件并打开它 点击Cancel 按钮返回wireshark 主窗口而不载入任何文件Wireshark 对话框标准操作扩展 如果选中文件，可以查看文件预览信息（文件大小，包个数…） 通过―Display filter‖对话框，显示字段指定显示过滤器。过滤器将会在打开文件后应用。在输入过滤字符时会进行语法检查。如果输入正确背景为绿色，如果错误或输入未结束，北京为红色。载入文件后，点击filter按钮会打开过滤对话框，用于辅助输入显示显示过滤表达式。