Wireshark中文使用教程(用戶版)5.2 Wireshark基礎功能--文件輸入、輸出和打印
本章將描述捕獲數據的輸入和輸出。
- 打開各種捕獲文件格式的捕獲文件
- 保存和導出各種格式的捕獲文件
- 合并捕獲文件
- 導入包含十六進制數據包轉儲的文本文件
- 打印數據包
5.2.1 打開捕獲文件
Wireshark可以讀取以前保存的捕獲文件,要查看它們,只需選擇File →Open 菜單或工具欄項。然后,Wireshark將彈出“文件打開”對話框,5.2.1.1 “打開捕獲文件” 對話框中對此進行了詳細討論。
- 您可以使用拖放打開文件
在大多數系統上,只需將其拖放到文件管理器中并將其拖放到Wireshark的主窗口中,即可打開文件。
除了其本機文件格式(pcapng),Wireshark還可以從大量其他數據包捕獲程序中讀取和寫入捕獲文件。有關Wireshark可以理解的捕獲格式列表,請參見 5.2.1.2 輸入文件格式。
5.2.1.1 “打開捕獲文件”對話框
“打開捕獲文件”對話框使您可以搜索包含先前捕獲的數據包的捕獲文件,以在Wireshark中顯示。以下各節顯示Wireshark“打開文件”對話框的一些示例。該對話框的外觀取決于系統。但是,各系統的功能應相同。
在所有系統上的常見對話框行為:
- 選擇文件和目錄。
- 單擊
Open按鈕以接受您選擇的文件并打開它。 - 單擊
Cancel按鈕返回到Wireshark,并且不加載捕獲文件。 Help按鈕將帶您進入“用戶指南”的本部分。
Wireshark添加了以下控件:
查看文件預覽信息,例如所選捕獲文件中的數據包大小和數量。
在“讀取過濾器”字段中指定讀取過濾器。打開新文件時將使用此過濾器。對于有效的過濾器字符串,文本字段背景將變為綠色,對于無效的過濾器字符串,背景字段將變為紅色。讀取過濾器可用于排除各種類型的流量,這對于大型捕獲文件很有用。它們使用與顯示過濾器相同的語法,在5.3.3 查看時過濾數據包對此進行了詳細討論。
(可選)使用“自動檢測文件類型”下拉菜單強制Wireshark讀取文件作為特定類型。
圖5.10。在Microsoft Windows上“打開”
這是常見的Windows文件打開對話框以及一些Wireshark擴展名。
圖5.11。“開放”-Linux和UNIX
這是常見的Qt文件打開對話框以及一些Wireshark擴展名。
5.2.1.2 輸入文件格式
Wireshark可以打開其他捕獲工具的以下文件格式:
- pcapng。libpcap格式的靈活,可擴展的后繼。Wireshark 1.8和更高版本默認情況下將文件另存為pcapng。1.8之前的版本使用libpcap。
- libpcap。libpcap數據包捕獲庫使用的默認格式。通過使用tcpdump的,_Snort,Nmap的,的NTOP,以及許多其他工具。
- Oracle(以前為Sun)監聽和atmsnoop
- Finisar(以前為Shomiti)的測量師捕獲
- Microsoft 網絡監視器捕獲
- Novell LANalyzer捕獲
- AIX iptrace捕獲
- Cinco Networks NetXray捕獲
- Network Associates基于Windows的Sniffer和Sniffer Pro捕獲
- Network General / Network Associates基于DOS的嗅探器(壓縮或未壓縮)捕獲
- AG Group / WildPackets / Savvius EtherPeek / TokenPeek / AiroPeek / EtherHelp / PacketGrabber捕獲
- RADCOM的WAN / LAN分析儀捕獲
- Network Instruments Observer 9版捕獲
- 朗訊/登高路由器調試輸出
- HP-UX的nettl
- 東芝的ISDN路由器轉儲輸出
- ISDN4BSD i4btrace實用程序
- 來自EyeSDN USB S0的痕跡
- 思科安全入侵檢測系統的IPLog格式
- pppd日志(pppdump格式)
- VMS的TCPIPtrace / TCPtrace / UCX $ TRACE實用程序的輸出
- DBS Etherwatch VMS實用程序輸出的文本
- 視覺網絡的視覺正常運行時間流量捕獲
- CoSine L2調試的輸出
- Accellent 5Views LAN代理的輸出
- Endace Measurement Systems的ERF格式捕獲
- Linux Bluez藍牙堆棧hcidump -w跟蹤
- 彈射器DCT2000 .out文件
- Gammu在Netmonitor模式下從諾基亞DCT3手機生成了文本輸出
- IBM系列(OS / 400)Comm跟蹤(ASCII和UNICODE)
- Juniper Netscreen監聽捕獲
- Symbian OS btsnoop捕獲
- Tamosoft CommView捕獲
- Textronix K12xx 32位.rf5格式捕獲
- Textronix K12文本文件格式捕獲
- Apple PacketLogger捕獲
- 從Aethra Telecommunications的PC108軟件中獲取其測試儀器
有時會添加新的文件格式。
根據捕獲的數據包類型,可能無法讀取某些格式。大多數文件格式通常都支持以太網捕獲,但是可能無法從所有文件格式讀取其他數據包類型,例如PPP或IEEE 802.11。
5.2.2 保存捕獲的數據包
您可以通過使用保存捕獲的數據包文件 → 保存或文件 → 另存為…菜單項。您可以選擇要保存的數據包以及要使用的文件格式。
并非所有信息都將保存在捕獲文件中。例如,大多數文件格式不記錄丟棄的數據包的數量。有關詳細信息,請參見 B.1。捕獲文件。
5.2.2.1 “將捕獲文件另存為”對話框
“將捕獲文件另存為”對話框可讓您將當前捕獲保存到文件中。此對話框的確切外觀取決于您的系統。但是,各系統的功能相同。示例如下所示。
圖5.12。在Microsoft Windows上“保存”
這是常見的Windows文件保存對話框,帶有一些其他的Wireshark擴展名。
圖5.13。在Linux和UNIX上“保存”
這是帶有其他Wireshark擴展名的常見Qt文件保存對話框。
您可以執行以下操作:
- 鍵入您要在其中保存捕獲的數據包的文件的名稱。
- 選擇要保存文件的目錄。
- 通過單擊
Save as下拉框,指定保存的捕獲文件的格式。您可以從5.2.2.2 輸出文件格式中描述的類型中進行選擇。根據捕獲的數據包類型,某些捕獲格式可能不可用。 Help“按鈕將帶您進入“用戶指南”的本部分。- “Compress with gzip” 會在將捕獲文件寫入磁盤時對其進行壓縮。
- 單擊
Save按鈕以接受您選擇的文件并保存。 - 單擊
Cancel按鈕返回到Wireshark,而不保存任何數據包。
如果您沒有為文件名提供文件擴展名(例如.pcap),則Wireshark將為該文件格式附加標準文件擴展名。
- Wireshark可以轉換文件格式
通過打開捕獲并將其保存為其他格式,可以將捕獲文件從一種格式轉換為另一種格式。
如果希望將某些數據包保存在捕獲文件中,則可以通過5.2.6.1 “導出指定的數據包” 對話框進行保存。
5.2.2.2 輸出文件格式
Wireshark可以將數據包數據以其本機文件格式(pcapng)和其他協議分析器的文件格式保存,以便其他工具可以讀取捕獲的數據。
- 以其他格式保存可能會丟失數據
以其他格式保存文件可能會丟失諸如注釋,名稱解析和時間戳解析之類的信息。
Wireshark可以保存以下文件格式(帶有已知文件擴展名):
- pcapng(* .pcapng)。libpcap格式的靈活,可擴展的后繼。Wireshark 1.8和更高版本默認情況下將文件另存為pcapng。1.8之前的版本使用libpcap。
- libpcap,tcpdump和使用tcpdump捕獲格式(* .pcap,.cap,.dmp)的其他各種工具
- 加速5次瀏覽(* .5vw)
- HP-UX的nettl(* .TRC0,*.TRC1)
- Microsoft網絡監視器-NetMon(* .cap)
- Network Associates嗅探器-DOS(* .cap,.enc,.trc,* fdc,*.syc)
- Network Associates嗅探器-Windows(* .cap)
- Network Instruments Observer版本9(* .bfr)
- Novell LANalyzer(* .tr1)
- Oracle(以前是Sun)監聽(* .snoop,*.cap)
- 視覺網絡視覺正常運行時間流量(.)
有時會添加新的文件格式。
上述工具是否比Wireshark更有幫助是一個不同的問題;-)
- 第三方協議分析器可能需要特定的文件擴展名
Wireshark會檢查文件的內容以確定其類型。其他一些協議分析器僅查看文件擴展名。例如,您可能需要使用.cap擴展名才能使用Sniffer打開文件。
5.2.3 合并捕獲文件
有時您需要將多個捕獲文件合并為一個。例如,如果您一次從多個接口同時捕獲(例如,使用Wireshark的多個實例),這將很有用。
有三種使用Wireshark合并捕獲文件的方式:
- 使用
File→Merge菜單打開“Merge” 對話框。有關詳細信息,請參見5.2.3.1 “與捕獲文件合并” 對話框。除非您已加載捕獲文件,否則此菜單項將被禁用。 - 使用drag將多個文件拖放到主窗口上。Wireshark將嘗試按時間順序將數據包從丟棄的文件合并到新創建的臨時文件中。如果刪除單個文件,它將僅替換現有捕獲。
- 從命令行 使用
mergecap工具合并捕獲文件。該工具提供了最多的選項來合并捕獲文件。有關詳細信息,請參見D.7 mergecap:將多個捕獲文件合并為一個 。
5.2.3.1 “與捕獲文件合并”對話框
這使您可以選擇要合并到當前加載文件中的文件。如果您當前的數據尚未保存,將要求您先保存。
此對話框的大多數控件的工作方式與“打開捕獲文件”對話框中描述的相同。有關詳細信息,請參見5.2.1.1 “打開捕獲文件” 對話框。
此合并對話框的特定控件是:
Prepend packets:將來自所選文件的數據包放在當前加載的數據包之前。
Merge chronologically:按時間順序合并來自所選文件和當前加載文件的兩個數據包。
Append packets:在當前加載的數據包之后附加來自選定文件的數據包。
圖5.14。在Microsoft Windows上“合并”
這是帶有其他Wireshark擴展名的常見Windows文件打開對話框。
圖5.15。在Linux和UNIX上“合并”
這是帶有其他Wireshark擴展名的Qt文件打開對話框。
5.2.4 導入十六進制轉儲
Wireshark可以讀取ASCII十六進制轉儲,并將描述的數據寫入臨時libpcap捕獲文件。它可以讀取其中包含多個數據包的十六進制轉儲,并構建包含多個數據包的捕獲文件。它還能夠生成虛擬的以太網,IP和UDP,TCP或SCTP標頭,以便僅從應用程序級別數據的十六進制轉儲構建完全可處理的數據包轉儲。
Wireshark理解由生成的形式的十六進制轉儲od -Ax -tx1 -v。換句話說,每個字節都單獨顯示并用空格包圍。每行以一個偏移量開頭,該偏移量描述了數據包中的位置,每個新數據包都以偏移量0開始,并且有一個空格將偏移量與后續字節分開。偏移量是兩個以上十六進制數字的十六進制數字(也可以是八進制或十進制)。這是可以導入的示例轉儲:
000000 00 e0 1e a7 05 6f 00 10 ........
000008 5a a0 b9 12 08 00 46 00 .......
000010 03 68 00 00 00 00 0a 2e ........
000018 ee 33 0f 19 08 7f 0f 19 ........
000020 03 80 94 04 00 00 10 01 ........
000028 16 a2 0a 00 03 50 00 0c ........
000030 01 01 0f 19 03 80 11 01 ........每行的寬度或字節數沒有限制。行末的文本轉儲也將被忽略。字節數和十六進制數可以是大寫或小寫。偏移量之前的所有文本都會被忽略,包括電子郵件轉發字符>。字節串行之間的任何文本行都將被忽略。偏移量用于跟蹤字節,因此偏移量必須正確。任何只有字節而沒有前導偏移的行將被忽略。偏移量被識別為長度超過兩個字符的十六進制數字。字節之后的任何文本都將被忽略(例如,字符轉儲)。本文中的任何十六進制數字也將被忽略。零偏移量表示開始一個新數據包,因此可以將具有一系列十六進制轉儲的單個文本文件轉換為具有多個數據包的數據包捕獲。分組之前可以帶有時間戳。這些將根據給定的格式進行解釋。如果不是,則將第一個數據包加上當前時間的時間戳。多個數據包以不同的時間戳寫入,每個時間戳相差一微秒。一般來說,除了這些限制,
還有一些其他特殊功能需要注意。第一個非空白字符#將被注釋的任何行都將被忽略。任何#TEXT2PCAP以指令開頭的行都是指令,可以在此命令之后插入選項,以供Wireshark處理。當前沒有實現指令。將來,這些控件可用于對轉儲及其處理方式進行更細粒度的控制,例如時間戳,封裝類型等。Wireshark還允許用戶通過插入虛擬L2來讀入應用程序級數據的轉儲,每個數據包之前的L3和L4標頭。用戶可以選擇在每個數據包之前插入以太網標頭,以太網和IP或以太網,IP和UDP / TCP / SCTP標頭。這允許Wireshark或任何其他全包解碼器處理這些轉儲。
5.2.4.1 “從十六進制轉儲導入”對話框
此對話框使您可以選擇一個文本文件,其中包含要導入的數據包數據的十六進制轉儲,并設置導入參數。
圖5.16。“從十六進制轉儲導入”對話框
此導入對話框的特定控件分為兩部分:
Import from:確定必須導入哪個輸入文件以及如何解釋它。
Encapsulation:確定如何封裝數據。
導入參數如下:
Filename / Browse:輸入要導入的文本文件的名稱。您可以使用瀏覽來瀏覽文件。
Offsets:選擇要導入的文本文件中給定的偏移量的基數。通常為十六進制,但也支持十進制和八進制。 僅存在字節時選擇“ None ”。這些將作為單個數據包導入。
Timestamp Format:
這是用于解析要導入的文本文件中的時間戳的格式說明符。它使用簡單的語法描述時間戳的格式,%H表示小時,%M表示分鐘,%S表示秒,等等。%T涵蓋了簡單的HH:MM:SS格式。有關語法的完整定義,請查找strptime(3)。如果文本文件中沒有要導入的時間戳,請將該字段留空,并將根據導入時間生成時間戳。Direction indication:
如果要導入的文本文件在每幀之前都有方向指示符,請勾選此框。它們在每幀之前在單獨的一行上,并以 I或i表示輸入,以O或o表示輸出。
封裝參數如下:
Encapsulation type:在這里,您可以選擇要導入的幀類型。這全都取決于要導入的轉儲是從哪種介質類型進行的。它列出了Wireshark可以理解的所有類型,以便將捕獲文件的內容傳遞到正確的解剖器。
Dummy header:
選擇以太網封裝后,您必須選擇將虛擬標頭添加到要導入的幀之前。這些標頭可以提供人工以太網,IP,UDP,TCP或SCTP標頭或SCTP數據塊。選擇虛擬頭類型時,將啟用適用的條目,其他條目將顯示為灰色,并使用默認值。選擇Wireshark上層PDU導出封裝時,選項 ExportPDU可用。這允許您輸入要定向到這些框架的解剖器的名稱。Maximum frame length:
您可能對文本文件中的完整幀不感興趣,僅對第一部分感興趣。您可以在此處定義要導入的幀開始處有多少數據。如果您將此窗口保持打開狀態,則最大值設置為256kiB。
設置完所有輸入和導入參數后,單擊Import開始導入。如果尚未保存當前數據,則將要求您先保存它。
完成后,將有一個新的捕獲文件,其中裝有從文本文件導入的幀。
5.2.5 文件集
在執行捕獲時使用“多個文件”選項時(請參見: 5.1.7 捕獲文件和文件模式),捕獲數據分布在多個捕獲文件中,稱為文件集。
手動處理文件集可能變得很繁瑣,因此Wireshark提供了一些功能來方便地處理這些文件集。
Wireshark如何檢測文件集中的文件?
文件集中的文件名使用Prefix_Number_DateTimeSuffix格式,可能類似于test_00001_20200714183910.pcap。文件集的所有文件共享相同的前綴(例如“ test”)和后綴(例如“ .pcap”)以及不同的中間部分。
要查找文件集的文件,Wireshark掃描當前加載文件所在的目錄,并檢查與當前加載文件的文件名模式(前綴和后綴)匹配的文件。
這種簡單的機制通常效果很好,但有其缺點。如果使用相同的前綴和后綴捕獲了多個文件集,Wireshark將把它們檢測為單個文件集。如果文件被重命名或分布在多個目錄中,則該機制將無法找到集合中的所有文件。
File →File Set 子菜單中的以下功能方便使用文件集:
- “List Files”對話框將列出Wireshark識別為當前文件集一部分的文件。
Next File關閉當前文件并打開文件集中的下一個文件。Previous File“關閉當前文件并打開文件集中的上一個文件。
5.2.5.1 “列出文件”對話框
圖5.17。“列表文件”對話框
每行包含有關文件集的文件的信息:
Filename:如果單擊文件名(或單擊該文件名旁邊的單選按鈕),則將關閉當前文件,并打開相應的捕獲文件。
Created:文件的創建時間。
Last Modified:上次修改文件的時間。
Size:文件大小。
最后一行將包含有關當前使用目錄的信息,在該目錄中可以找到文件集中的所有文件。
每次opened/closed捕獲文件時,此對話框的內容都會更新。
Close關閉對話框。
5.2.6 導出數據
Wireshark提供了多種導出數據包數據的選項。本節描述了從主Wireshark應用程序導出數據的一般方法。還有許多其他方法可以從捕獲文件中導出或提取數據,包括處理D.1 tshark:基于終端的 Wireshark輸出以及使用Lua腳本自定義Wireshark和tshark。
5.2.6.1“導出指定的數據包”對話框
圖5.18。“導出指定的數據包”對話框
這類似于“ 5.2.2.1 “將捕獲文件另存為” 對話框 ,但是它允許您保存特定的數據包。這對于從捕獲文件中修剪無關或不需要的數據包很有用。有關范圍控件的詳細信息,請參見5.2.8 “數據包范圍” 框架。
5.2.6.2 “導出數據包解剖”對話框
這使您可以將數據包列表,數據包詳細信息和數據包字節另存為純文本,CSV,JSON和其他格式。
圖5.19。“導出數據包解剖”對話框
可以從“導出為” dopdown中選擇格式,并使用“ 數據包范圍 ”和“ 數據包格式 ”控件進一步自定義。某些控件不適用于某些格式,尤其是CSV和JSON。支持以下格式:
- Plain text as shown in the main window
- Comma-separated values (CSV)
- C-compatible byte arrays
- PSML (summary XML)
- PDML (detailed XML)
- JavaScript Object Notation (JSON)
以下是一些導出數據的示例:
Plain text.
No. Time Source Destination Protocol Length SSID Info
1 0.000000 200.121.1.131 172.16.0.122 TCP 1454 10554 → 80 [ACK] Seq=1 Ack=1 Win=65535 Len=1400 [TCP segment of a reassembled PDU]
Frame 1: 1454 bytes on wire (11632 bits), 1454 bytes captured (11632 bits)
Ethernet II, Src: 00:50:56:c0:00:01, Dst: 00:0c:29:42:12:13
Internet Protocol Version 4, Src: 200.121.1.131 (200.121.1.131), Dst: 172.16.0.122 (172.16.0.122)
0100 .... = Version: 4
.... 0101 = Header Length: 20 bytes (5)
Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
Total Length: 1440
Identification: 0x0141 (321)
Flags: 0x0000
...0 0000 0000 0000 = Fragment offset: 0
Time to live: 106
Protocol: TCP (6)
Header checksum: 0xd390 [validation disabled]
[Header checksum status: Unverified]
Source: 200.121.1.131 (200.121.1.131)
Destination: 172.16.0.122 (172.16.0.122)
[Source GeoIP: PE, ASN 6147, Telefonica del Peru S.A.A.]
Transmission Control Protocol, Src Port: 10554, Dst Port: 80, Seq: 1, Ack: 1, Len: 1400- tip
如果您希望能夠從純文本文件導入以前導出的任何數據包,建議您執行以下操作:- 添加“Absolute date and time” 列。
- 暫時隱藏所有其他列。
Edit→Preferences→Protocols→Data“顯示未解剖的新包字節窗格中的數據”的偏好。8.1.4 首選項中提供了更多詳細信息。- 包括數據包摘要行。
- 排除列標題。
- 排除數據包詳細信息。
- 包括數據包字節。
CSV.
"No.","Time","Source","Destination","Protocol","Length","SSID","Info","Win Size"
"1","0.000000","200.121.1.131","172.16.0.122","TCP","1454","","10554 > 80 [ACK] Seq=1 Ack=1 Win=65535 Len=1400 [TCP segment of a reassembled PDU]","65535"
"2","0.000011","172.16.0.122","200.121.1.131","TCP","54","","[TCP ACKed unseen segment] 80 > 10554 [ACK] Seq=1 Ack=11201 Win=53200 Len=0","53200"
"3","0.025738","200.121.1.131","172.16.0.122","TCP","1454","","[TCP Spurious Retransmission] 10554 > 80 [ACK] Seq=1401 Ack=1 Win=65535 Len=1400 [TCP segment of a reassembled PDU]","65535"
"4","0.025749","172.16.0.122","200.121.1.131","TCP","54","","[TCP Window Update] [TCP ACKed unseen segment] 80 > 10554 [ACK] Seq=1 Ack=11201 Win=63000 Len=0","63000"
"5","0.076967","200.121.1.131","172.16.0.122","TCP","1454","","[TCP Previous segment not captured] [TCP Spurious Retransmission] 10554 > 80 [ACK] Seq=4201 Ack=1 Win=65535 Len=1400 [TCP segment of a reassembled PDU]","65535"JSON.
{
"_index": "packets-2014-06-22",
"_type": "doc",
"_score": null,
"_source": {
"layers": {
"frame": {
"frame.encap_type": "1",
"frame.time": "Jun 22, 2014 13:29:41.834477000 PDT",
"frame.offset_shift": "0.000000000",
"frame.time_epoch": "1403468981.834477000",
"frame.time_delta": "0.450535000",
"frame.time_delta_displayed": "0.450535000",
"frame.time_relative": "0.450535000",
"frame.number": "2",
"frame.len": "86",
"frame.cap_len": "86",
"frame.marked": "0",
"frame.ignored": "0",
"frame.protocols": "eth:ethertype:ipv6:icmpv6",
"frame.coloring_rule.name": "ICMP",
"frame.coloring_rule.string": "icmp || icmpv6"
},
"eth": {
"eth.dst": "33:33:ff:9e:e3:8e",
"eth.dst_tree": {
"eth.dst_resolved": "33:33:ff:9e:e3:8e",
"eth.dst.oui": "3355647",
"eth.addr": "33:33:ff:9e:e3:8e",
"eth.addr_resolved": "33:33:ff:9e:e3:8e",
"eth.addr.oui": "3355647",
"eth.dst.lg": "1",
"eth.lg": "1",
"eth.dst.ig": "1",
"eth.ig": "1"
},
"eth.src": "00:01:5c:62:8c:46",
"eth.src_tree": {
"eth.src_resolved": "00:01:5c:62:8c:46",
"eth.src.oui": "348",
"eth.src.oui_resolved": "Cadant Inc.",
"eth.addr": "00:01:5c:62:8c:46",
"eth.addr_resolved": "00:01:5c:62:8c:46",
"eth.addr.oui": "348",
"eth.addr.oui_resolved": "Cadant Inc.",
"eth.src.lg": "0",
"eth.lg": "0",
"eth.src.ig": "0",
"eth.ig": "0"
},
"eth.type": "0x000086dd"
},
"ipv6": {
"ipv6.version": "6",
"ip.version": "6",
"ipv6.tclass": "0x00000000",
"ipv6.tclass_tree": {
"ipv6.tclass.dscp": "0",
"ipv6.tclass.ecn": "0"
},
"ipv6.flow": "0x00000000",
"ipv6.plen": "32",
"ipv6.nxt": "58",
"ipv6.hlim": "255",
"ipv6.src": "2001:558:4080:16::1",
"ipv6.addr": "2001:558:4080:16::1",
"ipv6.src_host": "2001:558:4080:16::1",
"ipv6.host": "2001:558:4080:16::1",
"ipv6.dst": "ff02::1:ff9e:e38e",
"ipv6.addr": "ff02::1:ff9e:e38e",
"ipv6.dst_host": "ff02::1:ff9e:e38e",
"ipv6.host": "ff02::1:ff9e:e38e",
"ipv6.geoip.src_summary": "US, ASN 7922, Comcast Cable Communications, LLC",
"ipv6.geoip.src_summary_tree": {
"ipv6.geoip.src_country": "United States",
"ipv6.geoip.country": "United States",
"ipv6.geoip.src_country_iso": "US",
"ipv6.geoip.country_iso": "US",
"ipv6.geoip.src_asnum": "7922",
"ipv6.geoip.asnum": "7922",
"ipv6.geoip.src_org": "Comcast Cable Communications, LLC",
"ipv6.geoip.org": "Comcast Cable Communications, LLC",
"ipv6.geoip.src_lat": "37.751",
"ipv6.geoip.lat": "37.751",
"ipv6.geoip.src_lon": "-97.822",
"ipv6.geoip.lon": "-97.822"
}
},
"icmpv6": {
"icmpv6.type": "135",
"icmpv6.code": "0",
"icmpv6.checksum": "0x00005b84",
"icmpv6.checksum.status": "1",
"icmpv6.reserved": "00:00:00:00",
"icmpv6.nd.ns.target_address": "2001:558:4080:16:be36:e4ff:fe9e:e38e",
"icmpv6.opt": {
"icmpv6.opt.type": "1",
"icmpv6.opt.length": "1",
"icmpv6.opt.linkaddr": "00:01:5c:62:8c:46",
"icmpv6.opt.src_linkaddr": "00:01:5c:62:8c:46"
}
}
}
}
}
]5.2.6.3 “導出選定的數據包字節”對話框
將在“數據包字節”窗格中選擇的字節導出到原始二進制文件中。
圖5.20。“導出選定的數據包字節”對話框
File name:要將數據包數據導出到的文件名。
Save as type:文件擴展名。
5.2.6.4 ``將PDU導出到文件…’’對話框
尚未寫。
5.2.6.5 ``導出TLS會話密鑰…’’對話框
尚未寫。
5.2.6.6 “導出對象”對話框
此功能可掃描當前打開的捕獲文件或正在運行的捕獲中選定協議的流,并允許用戶將重組對象導出到磁盤。例如,如果選擇HTTP,則可以將HTML文檔,圖像,可執行文件以及通過HTTP傳輸到磁盤的任何其他文件導出。如果您正在運行捕獲,則此列表會每隔幾秒鐘自動更新一次,顯示任何新對象。然后可以獨立于Wireshark打開或檢查保存的對象。
圖5.21。“導出對象”對話框
Columns:
Packet:在其中找到該對象的數據包編號。在某些情況下,同一數據包中可能有多個對象。
- Hostname:發送該對象的服務器的主機名。
Content Type:該對象的內容類型。
Size:該對象的大小(以字節為單位)。
Filename:該對象的文件名。每個協議生成文件名的方式都不同。例如,HTTP使用URI的最后部分,而IMF使用電子郵件的主題。
Inputs:
Text Filter:僅顯示包含指定文本字符串的對象。
Help:打開“用戶指南”的本部分。
Save All:使用文件名列中的文件名保存所有對象(包括未顯示的對象)。系統將詢問您將目錄保存在哪個目錄或文件夾中。
Close:關閉對話框而不導出。
Save:將當前選定的對象另存為您指定的文件名。另存為的默認文件名取自對象列表的文件名列。
5.2.7 打印數據包
要打印包,選擇File → Print…菜單項。Wireshark將顯示“打印”對話框,如下圖5.22。所示。
5.2.7.1 “打印”對話框
圖5.22。“打印”對話框
“打印”對話框顯示一個預覽區域,該區域顯示更改數據包格式設置的結果。您可以使用+ 和- 鍵并使用0 鍵。在“打印”對話框中可以使用以下設置:
Packet Format:指定要打印的內容。有關詳細信息,請參見圖5.24,““數據包格式”框架”。
Summary line:包括每個數據包的摘要行。該行將包含與數據包列表相同的字段。
Details:打印每個數據包的詳細信息。
Bytes:打印每個數據包的十六進制轉儲。
Packet Range:選擇要打印的數據包。有關詳細信息,請參見5.2.8 “數據包范圍” 框架。
Page Setup…讓您選擇頁面大小和方向。
Print…打印到默認打印機。
Cancel將關閉對話框而不進行打印。
Help將顯示“用戶指南”的此部分。
5.2.8 “數據包范圍”框架
數據包范圍框架是“ 導出指定數據包 ”,“ 導出數據包解剖 ”和“ 打印 ”對話框的一部分。您可以使用它指定要導出或打印的數據包。
圖5.23。“數據包范圍”框架
默認情況下,已設置Displayed按鈕,該按鈕僅導出或打印與當前顯示過濾器匹配的數據包。選擇Captured將導出或打印所有數據包。您可以進一步將導出或打印的內容限制為以下內容:
All packets:所有捕獲或顯示的數據包,取決于上面的主要選擇。
Selected packet:僅選定的數據包。
Marked packets:僅標記數據包。請參見5.3.10 標記數據包。
First to last marked:使您可以標記包的范圍。
Range:讓您手動指定數據包范圍,例如5,10-15,20-將處理5號數據包,10號至15號(包括15)的數據包以及20號至捕獲結束的每個數據包。
Remove ignored packets:不要導出或打印被忽略的數據包。請參見5.3.11 忽略數據包。
5.2.9 包格式幀
數據包格式框架也是“ 導出數據包解剖 ”和“ 打印 ”對話框的一部分。您可以使用它來指定要導出或打印的解剖部分。
圖5.24。“數據包格式”框架
下面的每個設置對應于主窗口中的數據包列表,數據包詳細信息和數據包字節。
Packet summary line:導出或打印每個摘要行,如“數據包列表”窗格中所示。
Packet details:導出或打印“數據包詳細信息”樹的內容。
All collapsed:像“數據包詳細信息”樹處于“全部折疊”狀態一樣導出或打印。
As displayed:像“數據包詳細信息”樹處于“顯示狀態”狀態一樣進行導出或打印。
All expanded:就像“數據包詳細信息”樹處于“全部展開”狀態一樣進行導出或打印。
Packet Bytes:導出或打印“數據包字節”窗格的內容。
Each packet on a new page:
對于打印和某些導出格式,請將每個數據包放在單獨的頁面上。例如,導出到文本文件時,這將在每個數據包之間放置換頁符。
推薦文章: