《Wireshark網絡分析實戰》—第1章1.7節資料檔案的儲存、列印及導出

本節書摘來自異步社群《wireshark網絡分析實戰》一書中的第1章1.7節資料檔案的儲存、列印及導出，作者【以色列】yoram orzach,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視。

1.7 資料檔案的儲存、列印及導出

wireshark網絡分析實戰

本節将讨論wireshark軟體中的檔案操作，包括資料檔案的儲存、列印及導出等。

1.7.1 準備工作

運作wireshark軟體，點選主工具條上的抓包按鈕，開始抓包（或打開一個已經儲存的抓封包件）。

1.7.2 操作方法

在wireshark主抓包視窗下，既可把抓來的所有資料都儲存進一個檔案，也能以不同的格式或檔案類型導出自己所需要的資料。

現在，來講解一下如何執行這些操作。

資料儲存操作

要把抓封包件中的所有資料包都儲存進一個檔案（或将現有抓封包件另存為一新檔案），請按以下步驟行事。

1．點選file菜單裡的save菜單項（或按ctrl+s鍵），在彈出視窗的“檔案名”輸入欄内輸入有待儲存的檔案名。

2．點選file菜單裡的save as菜單項（或按shift +ctrl +s鍵），在彈出視窗的“檔案名”輸入欄内輸入有待儲存的抓封包件的新名稱。

若要儲存抓封包件（或已抓資料包）中的部分資料（比如，經過顯示過濾器過濾的資料），請按以下步驟行事。

1．點選file菜單裡的export specified packets菜單項，export specified packets視窗會立刻彈出，如圖1.22所示。

2．可在export specified packets視窗的左下角區域，點選相應的單選框，來選擇檔案的導出方式。

3．要把抓封包件中的所有資料包或所有已抓資料包作為一個檔案導出，請同時選擇all packets和captured單選框，再點save按鈕。

4．要把抓封包件（或已抓資料包）中經過顯示過濾器過濾的資料包作為一個檔案導出，請同時選擇all packets和displayed單選框，再點save按鈕。

5．要把已選中的資料包（即在資料包清單區域中用滑鼠點選的資料包）作為一個檔案導出，請選擇selected packet單選框，再點save按鈕。

6．要把所有帶标記的資料包（給資料包打标的方法是：先在“資料包清單”區域選中一個資料包，點選右鍵，在右鍵菜單中選擇mark packet toggle菜單項）作為一個檔案導出，請選擇marked packet單選框，再點save按鈕。

7．要把“資料包清單”區域中位列2個帶标記的資料包之間的所有資料包作為一個檔案導出，請選擇first to last marked單選框，再點save按鈕。

8．要把抓封包件中編号（詳見“資料包清單”區域裡的“no.”列）連續的那部分資料包作為一個檔案導出，請選擇range單選框，并在其後的輸入欄内填寫資料包的編号範圍，再點save按鈕。

9．導出抓封包件時，要是希望放棄其中的某些資料包，請先在“資料包清單”區域裡選中那些資料包，單擊右鍵，選擇右鍵菜單裡的ignore packet toggle菜單項；然後，選擇export specified packets視窗中的remove ignored packets複選框，再點save按鈕。

再次重申，上述“存盤”操作既可以基于整個抓封包件中的所有資料包來進行，也可以基于抓封包件中經過顯示過濾器過濾的資料包來進行。

儲存資料的格式選取

wireshark支援将抓到的資料以不同的格式來儲存，好讓各種其他工具做進一步的分析。

可讓wireshark将抓取到的資料存為以下格式。

純文字格式（*.txt）：存為純文字ascii檔案格式。

postscript（*.pst）：存為postscript檔案格式。

逗号分割檔案格式（comma separated values）（*.csv）: 存為逗号分割檔案格式。這種格式的檔案可為電子表格程式（比如，microsoft excel）所用。

c語言數組格式（*.c）：把資料包的内容以c語言數組的格式儲存，可以很友善地将這種檔案格式導入c程式。

要以不同的檔案格式來儲存wireshark抓取到的資料，請點選file菜單的export packet dissections菜單項下相應的子菜單項。一旦點選，export file視窗會立刻彈出，如圖1.23所示。

在圖1.23所示的export file視窗的下半部分，用方框圈定了2個區域。左側區域中的單選或複選框用來完成待存資料的篩選操作，這在上一節已做過深入探讨。右側區域中的複選框和下拉菜單則用來确定應以何種“精細程度”，來儲存抓取到的資料包（“精細程度”分為三種：資料包清單、資料包的詳細結構以及資料包的内容，這分别對應于在抓包主視窗中出現的那三個區域裡的内容）。

如何列印資料

要想列印資料，請點選file菜單裡的print菜單項，print視窗會立刻彈出，如圖1.24所示。

可在print視窗中做如下選擇。

在視窗的上半部分區域，可選擇有待列印的檔案格式。

在視窗的左下區域，可選擇有待列印的資料包（操作方法類似于檔案儲存）。

在視窗的右下區域，可選擇有待列印的資料包的具體内容，可通過其中的複選框來選擇列印抓包主視窗中以下區域的内容：

資料包清單區域（packet summary pane）；

資料包結構區域（packet details pane）；

資料包内容區域（packet byte pane）。

1.7.3 幕後原理

wireshark支援以文本格式或postscript格式來列印資料（以後一種格式列印時，列印機應為postscript感覺的列印機），同時支援将資料列印至一個檔案。選妥了print視窗中的各個選項，點選print按鈕之後，會彈出作業系統自帶的正常“列印”視窗，可在其中選擇具體的列印機來列印。

本文僅用于學習和交流目的，不代表異步社群觀點。非商業轉載請注明作譯者、出處，并保留本文的原始連結。