第 5 章 文件输入/输出及打印
5.1. 说明
本章将介绍捕捉数据的输入输出。 打开/导入多种格式的捕捉文件 ? 保存/导出多种格式的捕捉文件 ? 合并捕捉文件 ? 打印包
?
5.2. 打开捕捉文件
Wireshark可以读取以前保存的文件。想读取这些文件,只需选择菜单或工具栏的:“File/将会 弹出打开文件对话框。详见第 5.2.1 节 “打开捕捉文件对话框”
如果使用拖放功能会更方便
要打开文件,只需要从文件管理器拖动你想要打开的文件到你的Wireshark主窗口。但拖放功能不是在所有平 台都支持。
在你载入新文件时,如果你没有保存当前文件,Wireshark会提示你是否保存,以避免数据丢失。(你可以在首选项禁止提示保存)
除Wireshark原生的格式(libpcap 格式,同样被 tcpdump/Windump和 其他基于libpcap/WinPcap使用)外,Wireshark可以很好地读取许多捕捉文件格式。支持的格式列表见第 5.2.2 节 “输入文件格式”
Open”。Wireshark
5.2.1. 打开捕捉文件对话框
打开文件对话框可以用来查找先前保存的文件。表 5.1 “特定环境下的打开文件对话框”显示了一些Wireshark打开文件对话框的例子。
对话框的显示方式取决于你的操作系统
对话框的显示方式取决于操作系统,以及GTK+工具集的版本。但不管怎么说,基本功能都是一样的。
常见对话框行为:
选择文件和目录
? 点击Open/OK按钮,选择你需要的文件并打开它
? 点击Cancle按钮返回Wireshark主窗口而不载入任何文件。
?
Wireshark对话框标准操作扩展
如果选中文件,可以查看文件预览信息(例如文件大小,包个数。。。)
? 通过\按钮、显示字段指定显示过滤器。过滤器将会在打开文件后应用。在输入过滤字符时会进行语法检查。如果输入正确背景色为绿色,如果错误或输入未结束,背景色为绿色。点击filter按钮会打开过滤对话框,用于辅助输入显示过滤表达式。(详见第 6.3 节 “浏览时过滤包”)
?
XXXX-we need a better description of these read filters(貌似说这一段需要更多的做介绍)
?
通过点击复选框指定那些地址解析会被执行。详见第 7.6 节 “名称解析”
在大文件中节约大量时间
你可以在打开文件后修改显示过滤器,和名称解析设置。但在一些巨大的文件中进行这些操作将会占用 大量的时间。在这种情况下建议在打开文件之前就进行相关过滤,解析设置。
表 5.1. 特定环境下的打开文件对话框
Microsoft Windows(GTK2 installed) 图 5.1. Windows下的打开对话框 此对话框一般都带有一些wireshark扩展 此对话框的说明: 如果可用,\按钮将会打开本节的用户手册。 ? \按钮 在当前版本的windows下不可用(我看了一下,的确不可用,但过滤输入框还是可用的) ? 错误提示功能:如果Wireshark无法识别选中的捕捉文件,Open按钮将为灰色不可用[a] ? 图 5.2. 新版GtK下的打开对话框 Unix/Linux:GTK version >= 2.4 这是在Gimp/GNOME桌面环境下的打开文件对话框 对此对话框的说明。 “+”按钮可以将右侧选中的目录添加到收藏夹。成为预设目录。 ? \按钮可以移除左侧目录列表中选中的目录。(\不可以移除) ? 如果Wireshark不能识别选中的捕捉文件,\按钮将是灰色不可用。 ? 图 5.3. 旧版GTK下的打开对话框 Unix/Linux: GTK version < 2.4 / Microsoft Windows (GTK1 installed) gimp/gnome桌面环境,或windows gtk1下的的。 该对话框说明 ? 如果未能识别不做文件,Open按钮将为灰色不可用 [a] 我测试了一下,无论什么文件,Wireshark都会去尝试打开,更遑论错误检查 5.2.2. 输入文件格式
可以打开的捕捉文件格式列表:
? ? ? ? ? ? ? ? ?
libpcap, tcpdump and various other tools using tcpdump's capture format Sun snoop and atmsnoop
Shomiti/Finisar Surveyor captures Novell LANalyzer captures
Microsoft Network Monitor captures AIX's iptrace captures
Cinco Networks NetXray captures
Network Associates Windows-based Sniffer and Sniffer Pro captures
Network General/Network Associates DOS-based Sniffer (compressed or uncompressed) captures
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber captures RADCOM's WAN/LAN Analyzer captures
Network Instruments Observer version 9 captures Lucent/Ascend router debug output HP-UX's nettl
Toshiba's ISDN routers dump output ISDN4BSD i4btrace utility traces from the EyeSDN USB S0
IPLog format from the Cisco Secure Intrusion Detection System pppd logs (pppdump format)
the output from VMS's TCPIPtrace/TCPtrace/UCX$TRACE utilities the text output from the DBS Etherwatch VMS utility Visual Networks' Visual UpTime traffic capture the output from CoSine L2 debug
the output from Accellent's 5Views LAN agents Endace Measurement Systems' ERF format captures Linux Bluez Bluetooth stack hcidump -w traces Catapult DCT2000 .out files
不正确的包类型可能无法会导致打开错误。
某些类型的捕捉包可能无法读取。以太网环境下捕捉的大部分类型格式一般都等打开。但有些包类型(如令牌 环环包),不是所有的格式都被wireshark支持。
5.3. 保存捕捉包
你可以通过File->Save As...菜单保存捕捉文件。在保存时可以选择保存哪些包,以什么格式保存。
保存可能会丢失某些有用的信息
保存可能会少量都是某些信息。例如:已经被丢弃的包会丢失。详见???
5.3.1. \保存文件为\对话框
\对话框用于保存当前捕捉数据到文件。???列举了该对话框的一些例子。
对话框的显示方式取决于你的操作系统
对话框的显示方式取决于你的操作系统和GTK+工具集版本的不同。但大部分基本功能都是一样的。
表 5.2. 特定环境下的\对话框
图 5.4. Windows下的保存为对话框 Microsoft Windows(GTK2 installed) 此对话框一般都带有一些wireshark扩展 此对话框的说明: 如果可用,\按钮将会打开本节的用户手册。 ? 如果你未输入文件扩展名-例如.pcap,Wireshark会自动添加该文件格式的标准扩展名。 ? Unix/Linux:GTK version >= 2.4 图 5.5. 新版GtK下的保存为对话框 这是在Gimp/GNOME桌面环境下的保存文件对话框 对此对话框的说明。 ? \前的“+”按钮可以让你指定文件保存的位置。。 图 5.6. 旧版GTK下的保存为对话框 Unix/Linux: GTK version < 2.4 / Microsoft Windows (GTK1 installed) gimp/gnome桌面环境,或windows gtk1下的的。 通过这些对话框,你可以执行如下操作:
1. 输入你指定的文件名。 2. 选择保存的目录
3. 选择保存包的范围,见第 5.8 节 “包范围选项”
4. 通过点击\文件类型\下拉列表指定保存文件的格式。见???
可供选中的文件格式可能会没有那么多
有些类型的捕捉格式可能不可用,这取决于捕捉包的类型。
可以直接保存为另一种格式。
你可以以一种格式读取捕捉文件,保存时使用另外一种格式(这句可能翻译有误。)
5. 点击\按钮保存。如果保存时遇到问题,会出现错误提示。确认那个错误提示以后,你可以重试。 6. 点击\按钮退出而不保存捕捉包。
5.3.2. 输出格式
可以将Wireshark不着的包保存为其原生格式文件(libpcap),也可以保存为其他格式供其他工具进行读取分析。
各文件类型之间的时间戳精度不尽相同
将当前文件保存为其他格式可能会降低时间戳的精度,见第 7.3 节 “时间戳”
Wireshark可以保存为如下格式。
? ? ? ? ? ? ? ? ? ?
libpcap, tcpdump and various other tools using tcpdump's capture format (*.pcap,*.cap,*.dmp) Accellent 5Views (*.5vw)
HP-UX's nettl (*.TRC0,*.TRC1)
Microsoft Network Monitor - NetMon (*.cap)
Network Associates Sniffer - DOS (*.cap,*.enc,*.trc,*fdc,*.syc) Network Associates Sniffer - Windows (*.cap) Network Instruments Observer version 9 (*.bfr) Novell LANalyzer (*.tr1) Sun snoop (*.snoop,*.cap)
Visual Networks Visual UpTime traffic (*.*)
5.4. 合并捕捉文件
有时候你需要将多个捕捉文件合并到一起。例如:如果你对多个接口同时进行捕捉,合并就非常有用(Wireshark实际上不能在同一个实体运行多次捕捉,需要开启多个Wireshark实体) 有三种方法可以合并捕捉文件:
从\菜单使用,menu item \菜单项 \合并\,打开合并对话框,见第 5.4.1 节 “合并文件对话框”
? 使用拖放功能,将多个文件拖放到主窗口。Wireshark会创建一个临时文件尝试对拖放的文件按时间顺序进行合并。如果你只拖放一个文件,Wireshark可能(只是)简单地替换已经打开的文件。
? 使用mergecap工具。该工具是在命令行进行文件合并的。它提供了合并文件的丰富的选项设置。见???
?
5.4.1. 合并文件对话框
通过该对话框可以选择需要合并的文件,并载入合并它们。
首先你会被提示有一个文件未保存
如果当前文件未保存,Wireshark会在启动合并对话框之前提示你是否保存文件。
此处的对话框的大多数内容与\Capture Files/打开捕捉文件\对话框类似,参见第 5.2.1 节 “打开捕捉文件对话框”
合并对话框中用于合并的控制选项: 将包插入已存在文件前
将选择文件内的包插入到当前已经载入文件之前 按时间顺序合并文件
将当前选择的文件和已载入的文件里的所有包按时间顺序合并 追加包到当前文件
将选择文件的包插入到当前载入文件的末尾 表 5.3. 不同环境下的\对话框
图 5.7. Windows下的\合并\对话框 Microsoft Windows(GTK2 installed) 此对话框一般都带有一些wireshark扩展