【正文】 ux: GTK version / Microsoft Windows (GTK1 installed) gimp/gnome桌面環(huán)境，或windows gtk1下的的。該對話框說明 如果未能識別不做文件，Open按鈕將為灰色不可用[a] 我測試了一下，無論什么文件，Wireshark都會去嘗試打開，更遑論錯誤檢查.輸入文件格式可以打開的捕捉文件格式列表： libpcap, tcpdump and various other tools using tcpdump39。s capture format Sun snoop and atmsnoop Shomiti/Finisar Surveyor captures Novell LANalyzer captures Microsoft Network Monitor captures AIX39。s iptrace captures Cinco Networks NetXray captures Network Associates Windowsbased Sniffer and Sniffer Pro captures Network General/Network Associates DOSbased Sniffer (pressed or unpressed) captures AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber captures RADCOM39。s WAN/LAN Analyzer captures Network Instruments Observer version 9 captures Lucent/Ascend router debug output HPUX39。s nettl Toshiba39。s ISDN routers dump output ISDN4BSD i4btrace utility traces from the EyeSDN USB S0 IPLog format from the Cisco Secure Intrusion Detection System pppd logs (pppdump format) the output from VMS39。s TCPIPtrace/TCPtrace/UCX$TRACE utilities the text output from the DBS Etherwatch VMS utility Visual Networks39。 Visual UpTime traffic capture the output from CoSine L2 debug the output from Accellent39。s 5Views LAN agents Endace Measurement Systems39。 ERF format captures Linux Bluez Bluetooth stack hcidump w traces Catapult DCT2000 .out files不正確的包類型可能無法會導致打開錯誤。某些類型的捕捉包可能無法讀取。以太網(wǎng)環(huán)境下捕捉的大部分類型格式一般都等打開。但有些包類型(如令牌環(huán)環(huán)包)，不是所有的格式都被wireshark支持。.保存捕捉包你可以通過FileSave As...菜單保存捕捉文件。在保存時可以選擇保存哪些包，以什么格式保存。保存可能會丟失某些有用的信息保存可能會少量都是某些信息。例如：已經(jīng)被丟棄的包會丟失。詳見???.save Capture File As/保存文件為對話框Save Capture File As對話框用于保存當前捕捉數(shù)據(jù)到文件。???列舉了該對話框的一些例子。對話框的顯示方式取決于你的操作系統(tǒng)對話框的顯示方式取決于你的操作系統(tǒng)和GTK+工具集版本的不同。但大部分基本功能都是一樣的。表.特定環(huán)境下的Save Capture File As對話框圖.Windows下的保存為對話框Microsoft Windows(GTK2 installed) 此對話框一般都帶有一些wireshark擴展此對話框的說明： 如果可用，help按鈕將會打開本節(jié)的用戶手冊。 ,Wireshark會自動添加該文件格式的標準擴展名。圖.新版GtK下的保存為對話框Unix/Linux:GTK version = 這是在Gimp/GNOME桌面環(huán)境下的保存文件對話框?qū)Υ藢υ捒虻恼f明。 Browse for other flders前的“+”按鈕可以讓你指定文件保存的位置。圖.舊版GTK下的保存為對話框Unix/Linux: GTK version / Microsoft Windows (GTK1 installed) gimp/gnome桌面環(huán)境，或windows gtk1下的的。通過這些對話框，你可以執(zhí)行如下操作：1. 輸入你指定的文件名。2. 選擇保存的目錄3. 選擇保存包的范圍，見第節(jié) “包范圍選項”4. 通過點擊File type/文件類型下拉列表指定保存文件的格式。見???可供選中的文件格式可能會沒有那么多有些類型的捕捉格式可能不可用，這取決于捕捉包的類型?？梢灾苯颖４鏋榱硪环N格式。你可以以一種格式讀取捕捉文件，保存時使用另外一種格式(這句可能翻譯有誤。)5. 點擊Save/OK按鈕保存。如果保存時遇到問題，會出現(xiàn)錯誤提示。確認那個錯誤提示以后，你可以重試。6. 點擊Cancel按鈕退出而不保存捕捉包。.輸出格式可以將Wireshark不著的包保存為其原生格式文件(libpcap)，也可以保存為其他格式供其他工具進行讀取分析。各文件類型之間的時間戳精度不盡相同將當前文件保存為其他格式可能會降低時間戳的精度，見第節(jié) “時間戳”Wireshark可以保存為如下格式。 libpcap, tcpdump and various other tools using tcpdump39。s capture format (*.pcap,*.cap,*.dmp) Accellent 5Views (*.5vw) HPUX39。s nettl (*.TRC0,*.TRC1) Microsoft Network Monitor NetMon (*.cap) Network Associates Sniffer DOS (*.cap,*.enc,*.trc,*fdc,*.syc) Network Associates Sniffer Windows (*.cap) Network Instruments Observer version 9 (*.bfr) Novell LANalyzer (*.tr1) Sun snoop (*.snoop,*.cap) Visual Networks Visual UpTime traffic (*.*).合并捕捉文件有時候你需要將多個捕捉文件合并到一起。例如：如果你對多個接口同時進行捕捉，合并就非常有用(Wireshark實際上不能在同一個實體運行多次捕捉，需要開啟多個Wireshark實體)有三種方法可以合并捕捉文件： 從File菜單使用，menu item Merge(菜單項 合并)，打開合并對話框，見第節(jié) “合并文件對話框” 使用拖放功能，將多個文件拖放到主窗口。Wireshark會創(chuàng)建一個臨時文件嘗試對拖放的文件按時間順序進行合并。如果你只拖放一個文件，Wireshark可能(只是)簡單地替換已經(jīng)打開的文件。 使用mergecap工具。該工具是在命令行進行文件合并的。它提供了合并文件的豐富的選項設置。見???.合并文件對話框通過該對話框可以選擇需要合并的文件，并載入合并它們。首先你會被提示有一個文件未保存如果當前文件未保存，Wireshark會在啟動合并對話框之前提示你是否保存文件。此處的對話框的大多數(shù)內(nèi)容與Open Capture Files/打開捕捉文件對話框類似，參見第節(jié) “打開捕捉文件對話框”合并對話框中用于合并的控制選項：將包插入已存在文件前 將選擇文件內(nèi)的包插入到當前已經(jīng)載入文件之前按時間順序合并文件 將當前選擇的文件和已載入的文件里的所有包按時間順序合并追加包到當前文件 將選擇文件的包插入到當前載入文件的末尾表.不同環(huán)境下的Merge Capture File As對話框圖.Windows下的合并對話框Microsoft Windows(GTK2 installed) 此對話框一般都帶有一些wireshark擴展圖.新版GtK下的合并話框Unix/Linux:GTK version = 這是在Gimp/GNOME桌面環(huán)境下的合并對話框圖.舊版GTK下的合并對話框Unix/Linux: GTK version / Microsoft Windows (GTK1 installed).文件集合在進行捕捉時(見：第節(jié) “捕捉文件格式、模式設置”)如果設置Multiple Files/多文件選項，捕捉數(shù)據(jù)會分割為多個文件，稱為文件集合.大量文件手動管理十分困難，Wirreshark的文件集合特性可以讓文件管理變得方便一點。Wireshark是如何知道一個文件所屬的文件集合t的?文件集合中的文件名以前綴號碼+_+號碼+_+日期時間+后綴的形式生成的。類似于：.文件集合所有的文件都有一個共同的前綴(例如前面的test)和后綴(例如:.pcap)以及變化的中間部分。要查找一個文件集合的所有文件。Wireshark會掃描當前載入文件的目錄下的所有文件，找到那些和當前文件名具有相同部分（前綴和后綴）的作為文件集合。這個簡單的機制通常能正常運行，但也有它的弊端。如果幾次進行的捕捉具有相同的前綴和后綴，Wireshark會將它們看作同一個文件集合。如果文件被更名或者放在不同的目錄下，這樣的按文件名查找機制會無法找到文件集合的所有文件。使用File菜單項的子菜單File Set可以對文件集合集合進行很方便的控制。 List Files 對話框顯示一個對話框列出所有被識別出來屬于當前文件集合的文件列表。 Next Files 關閉當前文件，打開文件集合列表中的下一個文件。 Previous Files 關閉當前文件，打開文件集合列表中的前一個文件。.文件列表對話框圖.文件列表對話框每行包含文件集合中的一個文件的相關信息。 Filename 文件名稱。如果你雙擊文件名稱(或者單擊單選鈕)，當前文件會被關閉，同時載入對應的文件。 Created 文件創(chuàng)建時間。 Last Modified 最后一次修改文件的時間。 size 文件的大小。最后一行...indirctory:顯示所有文件所在的目錄。在每次捕捉文件被打開、關閉時，對話框的內(nèi)容會變化。Close按鈕關閉該對話框。.導出數(shù)據(jù)Wireshark支持多種方法，多種格式導出包數(shù)據(jù)，本節(jié)描述Wireshark常見的導出包數(shù)據(jù)方法。注意個別數(shù)據(jù)需要使用許多特殊方式導出，在合適的時候我們會對其進行介紹。XXX add detailed descriptions of the output formats and some sample output, too./同樣需要對導出格式進行介紹，同樣也需要一些范例范例.Export as Plain Text File對話框?qū)С霭鼣?shù)據(jù)為plain AscⅡ 文本文本見，適合打印包數(shù)據(jù)。圖.Export as Plain Text File對話框 Export to file:導出包數(shù)據(jù)為指定的文件 Packet Range 參見第節(jié) “包范圍選項” Packet Details 參見???.Export as PostScript File 對話框?qū)С鰯?shù)據(jù)為PostScript格式，PostScript是一種打印格式。提示PostScribt文件可以使用ghostscrip轉(zhuǎn)換為PDF格式。，然后調(diào)用ps2pdf 。圖.Export as PostScript File 對話框 Export to file: 導出包數(shù)據(jù)為指定的文件 Packet Range: 參見第節(jié) “包范圍選項” Packet Details: 參見???.Export as CSV (Comma Separated Values) File 對話框注：筆者認為此處應該增加截屏，因為我的xp下界面與前圖風格迥異，這里就不提供了導出包的摘要為CVS格式，可以被電子表格程序使用。 Export to file 導出包數(shù)據(jù)為指定的文件 Packet Range 參見第節(jié) “包范圍選項”.Export as PSML File 對話框?qū)С霭鼣?shù)據(jù)為PSML格式，它是一種僅包含包摘要信息的xml格式。PSML格式的說明參見：圖.Export as PSML File對話框 Export to file:導出包數(shù)據(jù)為指定的文件 Packet Range: 參見第節(jié) “包范圍選項”上圖沒有諸