Wireshark中文简明使用教程 下载本文

图 5.8. 新版GtK下的合并话框 Unix/Linux:GTK version >= 2.4 这是在Gimp/GNOME桌面环境下的合并对话框 图 5.9. 旧版GTK下的合并对话框 Unix/Linux: GTK version < 2.4 / Microsoft Windows (GTK1 installed) 5.5. 文件集合

在进行捕捉时(见:第 4.6 节 “捕捉文件格式、模式设置”)如果设置\Files/多文件\选项,捕捉数据会分割为多个文件,称为文件集合.

大量文件手动管理十分困难,Wirreshark的文件集合特性可以让文件管理变得方便一点。 Wireshark是如何知道一个文件所属的文件集合t的?

文件集合中的文件名以前缀号码+\号码+\日期时间+后缀的形式生成的。类似于:

\文件集合所有的文件都有一个共同的前缀(例如前面的\和后缀(例如:\以及变化的中间部分。

要查找一个文件集合的所有文件。Wireshark会扫描当前载入文件的目录下的所有文件,找到那些和当前文件名具有相同部分(前缀和后缀)的作为文件集合。

这个简单的机制通常能正常运行,但也有它的弊端。如果几次进行的捕捉具有相同的前缀和后缀,Wireshark会将它们看作同一个文件集合。如果文件被更名或者放在不同的目录下,这样的按文件名查找机制会无法找到文件集合的所有文件。

使用\菜单项的子菜单\可以对文件集合集合进行很方便的控制。

List Files 对话框显示一个对话框列出所有被识别出来属于当前文件集合的文件列表。 ? Next Files 关闭当前文件,打开文件集合列表中的下一个文件。

? Previous Files 关闭当前文件,打开文件集合列表中的前一个文件。

?

5.5.1. 文件列表对话框

图 5.10. 文件列表对话框

每行包含文件集合中的一个文件的相关信息。

Filename 文件名称。如果你双击文件名称(或者单击单选钮),当前文件会被关闭,同时载入对应的文件。 ? Created 文件创建时间。

? Last Modified 最后一次修改文件的时间。 ? size 文件的大小。

?

最后一行\显示所有文件所在的目录。 在每次捕捉文件被打开、关闭时,对话框的内容会变化。 Close按钮关闭该对话框。

5.6. 导出数据

Wireshark支持多种方法,多种格式导出包数据,本节描述Wireshark常见的导出包数据方法。

注意

个别数据需要使用许多特殊方式导出,在合适的时候我们会对其进行介绍。

XXX - add detailed descriptions of the output formats and some sample output, too./同样需要对导出格式进行介绍,同样也需要一些范例范例

5.6.1. \对话框

导出包数据为\Ⅱ \文本文本见,适合打印包数据。

图 5.11. \对话框

Export to file:导出包数据为指定的文件 ? Packet Range 参见第 5.8 节 “包范围选项” ? Packet Details 参见???

?

5.6.2. \对话框

导出数据为PostScript格式,PostScript是一种打印格式。

提示

PostScribt文件可以使用ghostscrip转换为PDF格式。例如导出文件名为foo.ps,然后调用ps2pdf foo.ps 命令就可以进行转换。

图 5.12. \对话框

Export to file: 导出包数据为指定的文件 ? Packet Range: 参见第 5.8 节 “包范围选项” ? Packet Details: 参见???

?

5.6.3. \对话框

注:笔者认为此处应该增加截屏,因为我的xp下界面与前图风格迥异,这里就不提供了 导出包的摘要为CVS格式,可以被电子表格程序使用。

Export to file 导出包数据为指定的文件 ? Packet Range 参见第 5.8 节 “包范围选项”

?

5.6.4. \对话框

导出包数据为PSML格式,它是一种仅包含包摘要信息的xml格式。PSML格式的说明参见:http://www.nbee.org/Docs/NetPDL/PSML.htm. 图 5.13. \对话框

Export to file:导出包数据为指定的文件

? Packet Range: 参见第 5.8 节 “包范围选项”

?

上图没有诸如Packet details的选项,因为PSML文件格式有特殊要求,不包含这些内容。

5.6.5. \对话框

导出数据包为PDML格式,PDML是包含包详情的xml格式文件。PDML文件的说明见:http://www.nbee.org/Docs/NetPDL/PDML.htm

注意

PDML格式还没有发行版,Wireshark执行PDML还处在测试阶段,期望外来版本会有所变化。

图 5.14. \对话框

Export to file:将包数据导出到

? Packet Range: 参见第 5.8 节 “包范围选项”

?

上述对话框里没有诸如Packet details选项,这是由于PDML格式约定的内容决定的。

5.6.6. \对话框

图 5.15. \对话框

Name: 导出数据包为文件

? Save in folder:导出数据包到指定目录

? Browser for other folders 通过浏览来指定导出数据的目录。

?

5.6.7. \对话框

这个对话框是用来扫描当前打开包文件或者是正在捕捉中的包文件,将其中的对象,如HTML文档,图片文件,可执行文件等等任何可以通过HTTP传输的对象进行重组集合,让你可以将他们保存刀磁盘。如果捕捉正在进行中,列表会在发现新对象之后的几秒内立即更新。保存的对象不需要进行额外处理就可以被对应的查看工具打开,或者直接运行(如果它可以在Wireshark所在的平台运行的话)。这项功能在GTK1下的Wireshark中无法使用。 图 5.16. \对话框

各列说明 Packet num

包含该对象数据的包的数目,有时候多个对象可能包含在同一个包里。 Hostname