本节书摘来自异步社区《Wireshark网络分析实战》一书中的第1章1.7节数据文件的保存、打印及导出,作者【以色列】Yoram Orzach,更多章节内容可以访问云栖社区“异步社区”公众号查看。
1.7 数据文件的保存、打印及导出
Wireshark网络分析实战
本节将讨论Wireshark软件中的文件操作,包括数据文件的保存、打印及导出等。
1.7.1 准备工作
运行Wireshark软件,点击主工具条上的抓包按钮,开始抓包(或打开一个已经保存的抓包文件)。
1.7.2 操作方法
在Wireshark主抓包窗口下,既可把抓来的所有数据都保存进一个文件,也能以不同的格式或文件类型导出自己所需要的数据。
现在,来讲解一下如何执行这些操作。
数据保存操作
要把抓包文件中的所有数据包都保存进一个文件(或将现有抓包文件另存为一新文件),请按以下步骤行事。
1.点击File菜单里的Save菜单项(或按Ctrl+S键),在弹出窗口的“文件名”输入栏内输入有待保存的文件名。
2.点击File菜单里的Save as菜单项(或按Shift +Ctrl +S键),在弹出窗口的“文件名”输入栏内输入有待保存的抓包文件的新名称。
若要保存抓包文件(或已抓数据包)中的部分数据(比如,经过显示过滤器过滤的数据),请按以下步骤行事。
1.点击File菜单里的Export Specified Packets菜单项,Export Specified Packets窗口会立刻弹出,如图1.22所示。
2.可在Export Specified Packets窗口的左下角区域,点击相应的单选框,来选择文件的导出方式。
3.要把抓包文件中的所有数据包或所有已抓数据包作为一个文件导出,请同时选择All packets和Captured单选框,再点Save按钮。
4.要把抓包文件(或已抓数据包)中经过显示过滤器过滤的数据包作为一个文件导出,请同时选择All packets和Displayed单选框,再点Save按钮。
5.要把已选中的数据包(即在数据包列表区域中用鼠标点选的数据包)作为一个文件导出,请选择Selected packet单选框,再点Save按钮。
6.要把所有带标记的数据包(给数据包打标的方法是:先在“数据包列表”区域选中一个数据包,点击右键,在右键菜单中选择Mark packet toggle菜单项)作为一个文件导出,请选择Marked packet单选框,再点Save按钮。
7.要把“数据包列表”区域中位列2个带标记的数据包之间的所有数据包作为一个文件导出,请选择First to last marked单选框,再点Save按钮。
8.要把抓包文件中编号(详见“数据包列表”区域里的“No.”列)连续的那部分数据包作为一个文件导出,请选择Range单选框,并在其后的输入栏内填写数据包的编号范围,再点Save按钮。
9.导出抓包文件时,要是希望放弃其中的某些数据包,请先在“数据包列表”区域里选中那些数据包,单击右键,选择右键菜单里的Ignore packet toggle菜单项;然后,选择Export Specified Packets窗口中的Remove Ignored Packets复选框,再点Save按钮。
再次重申,上述“存盘”操作既可以基于整个抓包文件中的所有数据包来进行,也可以基于抓包文件中经过显示过滤器过滤的数据包来进行。
保存数据的格式选取
Wireshark支持将抓到的数据以不同的格式来保存,好让各种其他工具做进一步的分析。
可让Wireshark将抓取到的数据存为以下格式。
纯文本格式(*.txt):存为纯文本ASCII文件格式。
PostScript(*.pst):存为PostScript文件格式。
逗号分割文件格式(Comma Separated Values)(*.csv): 存为逗号分割文件格式。这种格式的文件可为电子表格程序(比如,Microsoft Excel)所用。
C语言数组格式(*.c):把数据包的内容以C语言数组的格式保存,可以很方便地将这种文件格式导入C程序。
PSML-XML格式(*.psml):存为PSML文件格式。PSML是一种基于XML的文件格式,只能保存数据包的汇总信息。欲了解与此文件格式有关的详细信息,请见:http://www.nbee.org/doku.php?id=netpdl:psml_specification。
PDML–XML格式(*.PDML):存为PDML文件格式。PSML也是一种基于XML的文件格式,但能保存数据包的详细信息。欲了解与此文件格式有关的详细信息,请见:http://www.nbee.org/doku.php?id=netpdl:pdml_specification。
要以不同的文件格式来保存Wireshark抓取到的数据,请点击File菜单的Export Packet Dissections菜单项下相应的子菜单项。一旦点击,Export File窗口会立刻弹出,如图1.23所示。
在图1.23所示的Export File窗口的下半部分,用方框圈定了2个区域。左侧区域中的单选或复选框用来完成待存数据的筛选操作,这在上一节已做过深入探讨。右侧区域中的复选框和下拉菜单则用来确定应以何种“精细程度”,来保存抓取到的数据包(“精细程度”分为三种:数据包列表、数据包的详细结构以及数据包的内容,这分别对应于在抓包主窗口中出现的那三个区域里的内容)。
如何打印数据
要想打印数据,请点击File菜单里的Print菜单项,Print窗口会立刻弹出,如图1.24所示。
可在Print窗口中做如下选择。
在窗口的上半部分区域,可选择有待打印的文件格式。
在窗口的左下区域,可选择有待打印的数据包(操作方法类似于文件保存)。
在窗口的右下区域,可选择有待打印的数据包的具体内容,可通过其中的复选框来选择打印抓包主窗口中以下区域的内容:
数据包列表区域(Packet Summary pane);
数据包结构区域(Packet Details pane);
数据包内容区域(Packet Byte pane)。
1.7.3 幕后原理
Wireshark支持以文本格式或postscript格式来打印数据(以后一种格式打印时,打印机应为postscript感知的打印机),同时支持将数据打印至一个文件。选妥了Print窗口中的各个选项,点击Print按钮之后,会弹出操作系统自带的常规“打印”窗口,可在其中选择具体的打印机来打印。
本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。
