【正文】 ux: GTK version / Microsoft Windows (GTK1 installed) gimp/gnome桌面環(huán)境，或windows gtk1下的的。該對話框說明 如果未能識別不做文件，Open按鈕將為灰色不可用[a] 我測試了一下，無論什么文件，Wireshark都會(huì)去嘗試打開，更遑論錯(cuò)誤檢查.輸入文件格式可以打開的捕捉文件格式列表： libpcap, tcpdump and various other tools using tcpdump39。s capture format Sun snoop and atmsnoop Shomiti/Finisar Surveyor captures Novell LANalyzer captures Microsoft Network Monitor captures AIX39。s iptrace captures Cinco Networks NetXray captures Network Associates Windowsbased Sniffer and Sniffer Pro captures Network General/Network Associates DOSbased Sniffer (pressed or unpressed) captures AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber captures RADCOM39。s WAN/LAN Analyzer captures Network Instruments Observer version 9 captures Lucent/Ascend router debug output HPUX39。s nettl Toshiba39。s ISDN routers dump output ISDN4BSD i4btrace utility traces from the EyeSDN USB S0 IPLog format from the Cisco Secure Intrusion Detection System pppd logs (pppdump format) the output from VMS39。s TCPIPtrace/TCPtrace/UCX$TRACE utilities the text output from the DBS Etherwatch VMS utility Visual Networks39。 Visual UpTime traffic capture the output from CoSine L2 debug the output from Accellent39。s 5Views LAN agents Endace Measurement Systems39。 ERF format captures Linux Bluez Bluetooth stack hcidump w traces Catapult DCT2000 .out files不正確的包類型可能無法會(huì)導(dǎo)致打開錯(cuò)誤。某些類型的捕捉包可能無法讀取。以太網(wǎng)環(huán)境下捕捉的大部分類型格式一般都等打開。但有些包類型(如令牌環(huán)環(huán)包)，不是所有的格式都被wireshark支持。.保存捕捉包你可以通過FileSave As...菜單保存捕捉文件。在保存時(shí)可以選擇保存哪些包，以什么格式保存。保存可能會(huì)丟失某些有用的信息保存可能會(huì)少量都是某些信息。例如：已經(jīng)被丟棄的包會(huì)丟失。詳見???.save Capture File As/保存文件為對話框Save Capture File As對話框用于保存當(dāng)前捕捉數(shù)據(jù)到文件。???列舉了該對話框的一些例子。對話框的顯示方式取決于你的操作系統(tǒng)對話框的顯示方式取決于你的操作系統(tǒng)和GTK+工具集版本的不同。但大部分基本功能都是一樣的。表.特定環(huán)境下的Save Capture File As對話框圖.Windows下的保存為對話框Microsoft Windows(GTK2 installed) 此對話框一般都帶有一些wireshark擴(kuò)展此對話框的說明： 如果可用，help按鈕將會(huì)打開本節(jié)的用戶手冊。 ,Wireshark會(huì)自動(dòng)添加該文件格式的標(biāo)準(zhǔn)擴(kuò)展名。圖.新版GtK下的保存為對話框Unix/Linux:GTK version = 這是在Gimp/GNOME桌面環(huán)境下的保存文件對話框?qū)Υ藢υ捒虻恼f明。 Browse for other flders前的“+”按鈕可以讓你指定文件保存的位置。圖.舊版GTK下的保存為對話框Unix/Linux: GTK version / Microsoft Windows (GTK1 installed) gimp/gnome桌面環(huán)境，或windows gtk1下的的。通過這些對話框，你可以執(zhí)行如下操作：1. 輸入你指定的文件名。2. 選擇保存的目錄3. 選擇保存包的范圍，見第節(jié) “包范圍選項(xiàng)”4. 通過點(diǎn)擊File type/文件類型下拉列表指定保存文件的格式。見???可供選中的文件格式可能會(huì)沒有那么多有些類型的捕捉格式可能不可用，這取決于捕捉包的類型?？梢灾苯颖４鏋榱硪环N格式。你可以以一種格式讀取捕捉文件，保存時(shí)使用另外一種格式(這句可能翻譯有誤。)5. 點(diǎn)擊Save/OK按鈕保存。如果保存時(shí)遇到問題，會(huì)出現(xiàn)錯(cuò)誤提示。確認(rèn)那個(gè)錯(cuò)誤提示以后，你可以重試。6. 點(diǎn)擊Cancel按鈕退出而不保存捕捉包。.輸出格式可以將Wireshark不著的包保存為其原生格式文件(libpcap)，也可以保存為其他格式供其他工具進(jìn)行讀取分析。各文件類型之間的時(shí)間戳精度不盡相同將當(dāng)前文件保存為其他格式可能會(huì)降低時(shí)間戳的精度，見第節(jié) “時(shí)間戳”Wireshark可以保存為如下格式。 libpcap, tcpdump and various other tools using tcpdump39。s capture format (*.pcap,*.cap,*.dmp) Accellent 5Views (*.5vw) HPUX39。s nettl (*.TRC0,*.TRC1) Microsoft Network Monitor NetMon (*.cap) Network Associates Sniffer DOS (*.cap,*.enc,*.trc,*fdc,*.syc) Network Associates Sniffer Windows (*.cap) Network Instruments Observer version 9 (*.bfr) Novell LANalyzer (*.tr1) Sun snoop (*.snoop,*.cap) Visual Networks Visual UpTime traffic (*.*).合并捕捉文件有時(shí)候你需要將多個(gè)捕捉文件合并到一起。例如：如果你對多個(gè)接口同時(shí)進(jìn)行捕捉，合并就非常有用(Wireshark實(shí)際上不能在同一個(gè)實(shí)體運(yùn)行多次捕捉，需要開啟多個(gè)Wireshark實(shí)體)有三種方法可以合并捕捉文件： 從File菜單使用，menu item Merge(菜單項(xiàng) 合并)，打開合并對話框，見第節(jié) “合并文件對話框” 使用拖放功能，將多個(gè)文件拖放到主窗口。Wireshark會(huì)創(chuàng)建一個(gè)臨時(shí)文件嘗試對拖放的文件按時(shí)間順序進(jìn)行合并。如果你只拖放一個(gè)文件，Wireshark可能(只是)簡單地替換已經(jīng)打開的文件。 使用mergecap工具。該工具是在命令行進(jìn)行文件合并的。它提供了合并文件的豐富的選項(xiàng)設(shè)置。見???.合并文件對話框通過該對話框可以選擇需要合并的文件，并載入合并它們。首先你會(huì)被提示有一個(gè)文件未保存如果當(dāng)前文件未保存，Wireshark會(huì)在啟動(dòng)合并對話框之前提示你是否保存文件。此處的對話框的大多數(shù)內(nèi)容與Open Capture Files/打開捕捉文件對話框類似，參見第節(jié) “打開捕捉文件對話框”合并對話框中用于合并的控制選項(xiàng)：將包插入已存在文件前 將選擇文件內(nèi)的包插入到當(dāng)前已經(jīng)載入文件之前按時(shí)間順序合并文件 將當(dāng)前選擇的文件和已載入的文件里的所有包按時(shí)間順序合并追加包到當(dāng)前文件 將選擇文件的包插入到當(dāng)前載入文件的末尾表.不同環(huán)境下的Merge Capture File As對話框圖.Windows下的合并對話框Microsoft Windows(GTK2 installed) 此對話框一般都帶有一些wireshark擴(kuò)展圖.新版GtK下的合并話框Unix/Linux:GTK version = 這是在Gimp/GNOME桌面環(huán)境下的合并對話框圖.舊版GTK下的合并對話框Unix/Linux: GTK version / Microsoft Windows (GTK1 installed).文件集合在進(jìn)行捕捉時(shí)(見：第節(jié) “捕捉文件格式、模式設(shè)置”)如果設(shè)置Multiple Files/多文件選項(xiàng)，捕捉數(shù)據(jù)會(huì)分割為多個(gè)文件，稱為文件集合.大量文件手動(dòng)管理十分困難，Wirreshark的文件集合特性可以讓文件管理變得方便一點(diǎn)。Wireshark是如何知道一個(gè)文件所屬的文件集合t的?文件集合中的文件名以前綴號碼+_+號碼+_+日期時(shí)間+后綴的形式生成的。類似于：.文件集合所有的文件都有一個(gè)共同的前綴(例如前面的test)和后綴(例如:.pcap)以及變化的中間部分。要查找一個(gè)文件集合的所有文件。Wireshark會(huì)掃描當(dāng)前載入文件的目錄下的所有文件，找到那些和當(dāng)前文件名具有相同部分（前綴和后綴）的作為文件集合。這個(gè)簡單的機(jī)制通常能正常運(yùn)行，但也有它的弊端。如果幾次進(jìn)行的捕捉具有相同的前綴和后綴，Wireshark會(huì)將它們看作同一個(gè)文件集合。如果文件被更名或者放在不同的目錄下，這樣的按文件名查找機(jī)制會(huì)無法找到文件集合的所有文件。使用File菜單項(xiàng)的子菜單File Set可以對文件集合集合進(jìn)行很方便的控制。 List Files 對話框顯示一個(gè)對話框列出所有被識別出來屬于當(dāng)前文件集合的文件列表。 Next Files 關(guān)閉當(dāng)前文件，打開文件集合列表中的下一個(gè)文件。 Previous Files 關(guān)閉當(dāng)前文件，打開文件集合列表中的前一個(gè)文件。.文件列表對話框圖.文件列表對話框每行包含文件集合中的一個(gè)文件的相關(guān)信息。 Filename 文件名稱。如果你雙擊文件名稱(或者單擊單選鈕)，當(dāng)前文件會(huì)被關(guān)閉，同時(shí)載入對應(yīng)的文件。 Created 文件創(chuàng)建時(shí)間。 Last Modified 最后一次修改文件的時(shí)間。 size 文件的大小。最后一行...indirctory:顯示所有文件所在的目錄。在每次捕捉文件被打開、關(guān)閉時(shí)，對話框的內(nèi)容會(huì)變化。Close按鈕關(guān)閉該對話框。.導(dǎo)出數(shù)據(jù)Wireshark支持多種方法，多種格式導(dǎo)出包數(shù)據(jù)，本節(jié)描述Wireshark常見的導(dǎo)出包數(shù)據(jù)方法。注意個(gè)別數(shù)據(jù)需要使用許多特殊方式導(dǎo)出，在合適的時(shí)候我們會(huì)對其進(jìn)行介紹。XXX add detailed descriptions of the output formats and some sample output, too./同樣需要對導(dǎo)出格式進(jìn)行介紹，同樣也需要一些范例范例.Export as Plain Text File對話框?qū)С霭鼣?shù)據(jù)為plain AscⅡ 文本文本見，適合打印包數(shù)據(jù)。圖.Export as Plain Text File對話框 Export to file:導(dǎo)出包數(shù)據(jù)為指定的文件 Packet Range 參見第節(jié) “包范圍選項(xiàng)” Packet Details 參見???.Export as PostScript File 對話框?qū)С鰯?shù)據(jù)為PostScript格式，PostScript是一種打印格式。提示PostScribt文件可以使用ghostscrip轉(zhuǎn)換為PDF格式。，然后調(diào)用ps2pdf 。圖.Export as PostScript File 對話框 Export to file: 導(dǎo)出包數(shù)據(jù)為指定的文件 Packet Range: 參見第節(jié) “包范圍選項(xiàng)” Packet Details: 參見???.Export as CSV (Comma Separated Values) File 對話框注：筆者認(rèn)為此處應(yīng)該增加截屏，因?yàn)槲业膞p下界面與前圖風(fēng)格迥異，這里就不提供了導(dǎo)出包的摘要為CVS格式，可以被電子表格程序使用。 Export to file 導(dǎo)出包數(shù)據(jù)為指定的文件 Packet Range 參見第節(jié) “包范圍選項(xiàng)”.Export as PSML File 對話框?qū)С霭鼣?shù)據(jù)為PSML格式，它是一種僅包含包摘要信息的xml格式。PSML格式的說明參見：圖.Export as PSML File對話框 Export to file:導(dǎo)出包數(shù)據(jù)為指定的文件 Packet Range: 參見第節(jié) “包范圍選項(xiàng)”上圖沒有諸