Wireshark使用教程：[4]文件输出与输入

1、抓包文件的保存

保存捕捉文件时可以通过File——Save As…菜单或选择住工具栏保存

捕捉文件。

通过对话框，可以执行如下操作：

1． 输入指定的文件名。

2． 选择保存的目录。

3． 选择保存包的范围。

4． 通过点击file type/文件类型下拉表指定保存文件的格式。

5． 点击Save/OK 按钮保存。如果保存时遇到问题，会出现错误提示。

6． 点击Cancel 按钮退出而不保存捕捉包。

wireshark 捕捉的包可以保存为其原生格式文件（libpcap），也可以保存为

其他格式供其他工具进行读取分析。

Wireshark 可以保存为如下格式：

Libpcap, tcpdump and various other tools using tcpdump’s capture

format (*.pcap, *.cap, *.dmp)

 Accellent 5Views (*.5vw)

 HP-UX’s nettle (*.TRCO, TRC1)

 Microsoft Network Monitor—NetMon (*.cap)

 Network Associates Sniffer—DOS (*.cap, *.enc, *trc, *.fdc, *.syc)

 Network Associates Sniffer—Windows (*.cap)

 Network Instruments Observer version 9 (*.bfr)

 Novell LANalyzer(*.tr1)

 Sun snoop(*.snoop,*.cap)

   Visual Networks Visual UpTime traffic (*.*)

2、wireshark 捕捉文件输入

Wireshark 可以读取以前保存的文件，想读取这些文件，只需选择菜单或工

具栏的：―File/ Open‖。Wireshark 将会弹出打开文件对话框。

常见对话框行为：

 选择文件和目录

 点击Open/OK 按钮，选择你需要的文件并打开它

 点击Cancel 按钮返回wireshark 主窗口而不载入任何文件

Wireshark 对话框标准操作扩展

 如果选中文件，可以查看文件预览信息（文件大小，包个数…）

 通过―Display filter‖对话框，显示字段指定显示过滤器。过滤器将会在打

开文件后应用。在输入过滤字符时会进行语法检查。如果输入正确背景

为绿色，如果错误或输入未结束，北京为红色。载入文件后，点击filter

按钮会打开过滤对话框，用于辅助输入显示显示过滤表达式。