附錄B Wireshark文件和文件夾

B.1。捕獲文件

要了解在將捕獲的數據包保存到捕獲文件后哪些信息仍然可用，了解一些有關捕獲文件內容的知識將很有幫助。

Wireshark使用 pcapng文件格式作為默認格式來保存捕獲的數據包。它非常靈活，但是其他工具可能不支持它。

Wireshark還支持 libpcap文件格式。這是一種非常簡單的格式，并且已經建立。但是，它有一些缺點：它不可擴展，并且缺少一些真正有用的信息。

除了libpcap格式，Wireshark還支持幾種不同的捕獲文件格式。但是，上述問題也適用于這些格式。

B.1.1。Libpcap文件內容

在每個libpcap捕獲文件的開頭，都會存儲一些基本信息，例如用于標識libpcap文件格式的魔術數字。該文件開頭最有趣的信息是鏈路層類型（Ethernet, 802.11, MPLS, etc）。

為每個數據包保存以下數據：

• 毫秒級時間戳
• 數據包長度為 “on the wire”
• 保存在文件中的數據包長度
• 數據包的原始字節

B.1.2。未保存在捕獲文件中

您還應該知道未保存在捕獲文件中的內容：

• 當前選擇（selected packet, …?）

• 名稱解析信息。有關詳細信息，請參見6.1.7 名稱解析。

  Pcapng文件可以選擇保存名稱解析信息。Libpcap文件不能。其他文件格式具有不同級別的支持。

• 捕獲時丟棄的數據包數量

• 用“Edit/Mark Packet”設置的數據包標記

• 通過“Edit/Mark Packet”設置時間參考

• 當前顯示過濾器

B.2。配置文件和插件文件夾

為了匹配針對類Unix系統和Windows的不同策略，以及用于不同類Unix系統的不同策略，包含配置文件和插件的文件夾在不同平臺上也不同。我們在此處指示存儲配置文件和插件的頂級文件夾的位置，為它們提供占位符名稱，而與它們的實際位置無關，并在稍后為配置文件和插件提供文件夾位置時使用這些名稱。

• TIP
  從“ Help” 菜單中 選擇“ 關About Wireshark ”時，在顯示的對話框的“ Folders” 選項卡下，可以找到Wireshark實際使用的文件夾列表。

B.2.1。Windows上的文件夾

％APPDATA％是個人應用程序數據文件夾，例如： *C:\Users\username\AppData\Roaming\Wireshark *（詳細信息可以在 B.5.1。Windows 配置文件）中找到。

WIRESHARK是Wireshark程序文件夾，例如：* C：\ Program Files \ Wireshark*。

B.2.2。Unix-like系統上的文件夾

$ XDG_CONFIG_HOME是用戶特定的配置文件的文件夾。通常是* $ HOME / .config，其中 $ HOME是用戶的主文件夾，通常是諸如 / home / username*或 macOS上的* / Users / username之類的東西*。

如果您使用的是macOS，并且正在運行作為應用程序捆綁包安裝的Wireshark副本，則APPDIR是Wireshark應用程序捆綁包的頂級目錄，通常為 /Applications/Wireshark.app。否則，INSTALLDIR是頂層目錄，在該目錄下駐留了安裝Wireshark組件的子目錄。如果將/usrWireshark與系統捆綁在一起（例如，以Linux發行包的形式提供），則通常為這種情況；如果例如從源代碼構建并安裝了Wireshark，則通常為/ usr / local。

B.3。配置文件

Wireshark在運行時會使用許多配置文件。其中一些駐留在個人配置文件夾中，用于維護Wireshark運行之間的信息，而另一些則保留在系統區域中。

在所有平臺上，配置文件的內容格式都是相同的。

On Windows:

• Wireshark的個人配置文件夾是該文件夾的 Wireshark子文件夾，即％APPDATA％\ Wireshark。
• Wireshark的全局配置文件夾是Wireshark程序文件夾，也用作系統配置文件夾。

On Unix-like systems:

• 個人配置文件夾為 $ XDG_CONFIG_HOME / wireshark。為了與2.2之前的Wireshark向后兼容，如果$ XDG_CONFIG_HOME / wireshark不存在并且存在$ HOME / .wireshark，則將使用后者。
• 如果您使用的是macOS，并且正在運行作為應用程序捆綁包安裝的Wireshark副本，則全局配置文件夾為 APPDIR / Contents / Resources / share / wireshark。否則，全局配置文件夾為INSTALLDIR / share / wireshark。
• /etc folder是系統配置文件夾。您的系統上實際使用的文件夾可能會有所不同，也許是這樣的： 在/ usr / local / etc中。

表B.1。配置文件概述

文件內容

cfilters

該文件包含您已定義和保存的所有捕獲過濾器。它由一行或多行組成，其中每行具有以下格式：

“<filter name>” <filter string>

在程序啟動時，如果個人配置文件夾中有一個cfilters文件，則將其讀取。如果個人配置文件夾中沒有cfilters文件，那么，如果有cfilters全局配置文件夾中文件，則將其讀取。

當您在“捕獲過濾器”對話框中按“保存”按鈕時，所有當前的捕獲過濾器都會寫入個人捕獲過濾器文件中。

colorfilters

該文件包含您已定義和保存的所有濾色器。它由一行或多行組成，其中每行具有以下格式：

@<filter name>@<filter string>@[<bg RGB(16-bit)>][<fg RGB(16-bit)>]

在程序啟動時，如果個人配置文件夾中有一個colorfilters文件，則將其讀取。如果個人配置文件夾中沒有濾色器文件，那么，如果 全局配置文件夾中沒有濾色器文件，則將其讀取。

當您在“著色規則”對話框中按“保存”按鈕時，所有當前的濾色器都會寫入個人濾色器文件中。

dfilter_buttons

該文件包含您已定義和保存的所有顯示過濾器按鈕。它由一行或多行組成，其中每行具有以下格式：

“TRUE/FALSE”,”<button label>”,”<filter string>”,”<comment string>”

如果按鈕已啟用（顯示），則第一個字段為TRUE。

程序啟動時，如果個人配置文件夾中有dfilter_buttons文件，則將其讀取。如果個人配置文件夾中沒有dfilter_buttons文件，則如果 全局配置文件夾中有dfilter_buttons文件，則將其讀取。

當您保存對過濾器按鈕的任何更改時，所有當前的顯示過濾器按鈕都將寫入個人顯示過濾器按鈕文件。

dfilter_macros

此文件包含您已定義和保存的所有顯示過濾器宏。它由一行或多行組成，其中每行具有以下格式：

“<macro name>” <filter string>

在程序啟動時，如果個人配置文件夾中有dfilter_macros文件，則將其讀取。如果個人配置文件夾中沒有dfilter_macros文件，那么，如果 全局配置文件夾中沒有dfilter_macros文件，則將其讀取。

當您在“顯示過濾器宏”對話框中按“保存”按鈕時，所有當前的顯示過濾器宏都將寫入個人顯示過濾器宏文件。

dfilters

該文件包含您已定義和保存的所有顯示過濾器。它由一行或多行組成，其中每行具有以下格式：

“<filter name>” <filter string>

程序啟動時，如果個人配置文件夾中有dfilters文件，則將其讀取。如果個人配置文件夾中沒有dfilters文件，那么，如果全局配置文件夾中沒有dfilters文件，則將其讀取。

當您按下“顯示過濾器”對話框中的“保存”按鈕時，所有當前的顯示過濾器都將寫入個人顯示過濾器文件。

Disabled_protos

該文件中的每一行都指定一個禁用的協議名稱。以下是一些示例：

tcp
udp

在程序啟動時，如果全局配置文件夾中有一個disabled_protos文件，則將首先讀取它。然后，如果個人配置文件夾中有一個 disabled_protos文件，則將其讀取；如果兩個文件中都有協議集的條目，則個人禁用協議文件中的設置將覆蓋全局禁用協議文件中的設置。

當您在“啟用的協議”對話框中按“保存”按鈕時，當前的禁用協議集將被寫入個人禁用協議文件中。

ethers

當Wireshark嘗試將硬件MAC地址轉換為名稱時，它將首先查詢個人配置文件夾中的ethers文件。如果在該文件中找不到該地址，Wireshark將查閱系統配置文件夾中的ethers文件。

在某些類似Unix的系統上，該文件與/ etc / ethers文件具有相同的格式。這些文件中的每一行都包含一個硬件地址和名稱，并用空格分隔。硬件地址的數字用冒號（:)，破折號（-）或句點（。）分隔。以下是一些示例：

ff-ff-ff-ff-ff-ff Broadcast
c0-00-ff-ff-ff-ff TR_broadcast
00.2b.08.93.4b.a1 Freds_machine

將MAC地址轉換為名稱時，將從此文件中讀取設置，而Wireshark則不會寫入。

hosts

Wireshark使用主機文件中的條目將IPv4和IPv6地址轉換為名稱。

在程序啟動時，如果全局配置文件夾中有一個hosts文件，則將首先讀取它。然后，如果個人配置文件夾中有一個主機文件，則將其讀取；如果兩個文件中都有給定IP地址的條目，則個人主機文件中的設置將覆蓋全局主機文件中的條目。

該文件的格式與Unix系統上通常的/ etc / hosts文件相同。

一個例子是：

#Comments must be prepended by the# sign!
192.168.0.1 homeserver

程序啟動時會讀取此文件中的設置，而不是由Wireshark寫入。

ipxnets

當Wireshark嘗試將IPX網絡號轉換為名稱時，它將首先查詢個人配置文件夾中的ipxnets文件。如果在該文件中找不到該地址，Wireshark將查詢系統配置文件夾中的ipxnets文件。

一個例子是：

C0.A8.2C.00 HR
c0-a8-1c-00 CEO
00：00：BE：EF IT_Server1
110f FileServer3

當將IPX網絡號轉換為名稱時，將從此文件中讀取設置，而不用Wireshark寫入。

manuf

在程序啟動時，如果全局配置文件夾中有一個manuf文件，則將其讀取。

該文件中的條目用于將MAC地址前綴轉換為簡短的制造商名稱和較長的制造商名稱。每行包含一個MAC地址前綴，后跟一個縮寫的制造商名稱和完整的制造商名稱。默認情況下，前綴為24位長，其后可以是可選長度。請注意，這與以太文件格式不同。

例如：

00:00:01 Xerox Xerox Corporation
00：50：C2：00：30：00/36 Microsof Microsoft

程序啟動時會讀取此文件中的設置，而不是由Wireshark寫入。

preferences

該文件包含您的Wireshark首選項，包括用于捕獲和顯示數據包的默認設置。這是一個簡單的文本文件，包含以下形式的語句：

variable: value

程序啟動時，如果全局配置文件夾中存在preferences文件，則將首先讀取該文件。然后，如果個人配置文件夾中存在一個 首選項文件，則將其讀取；如果兩個文件中均設置了首選項，則個人首選項文件中的設置將覆蓋全局首選項文件中的設置。

如果在“preferences”對話框中按“Save”按鈕，則所有當前設置都將寫入個人首選項文件。

recent

該文件包含特定于當前配置文件的GUI設置，例如列寬和工具欄可見性。這是一個簡單的文本文件，包含以下形式的語句：

variable: value

它在程序啟動時讀取，并在保存首選項時和在程序退出時寫入。每當您切換到其他配置文件時，它也會被寫入和讀取。

recent_common

該文件包含常見的GUI設置，例如最近打開的捕獲文件，最近使用的過濾器和窗口幾何形狀。這是一個簡單的文本文件，包含以下形式的語句：

variable: value

它在程序啟動時讀取，并在保存首選項時和在程序退出時寫入。

services

Wireshark使用services文件將端口號轉換為名稱。

在程序啟動時，如果全局配置文件夾中有一個services文件，則將首先讀取它。然后，如果 個人配置文件夾中有一個services文件，則將其讀取；如果兩個文件中都有給定端口號的條目，則個人主機文件中的設置將覆蓋全局主機文件中的條目。

一個例子是：

mydns 5045/udp # My own Domain Name Server
mydns 5045/tcp # My own Domain Name Server

這些文件中的設置是在程序啟動時讀取的，而不是由Wireshark寫入的。

ss7pcs

Wireshark使用ss7pcs文件將SS7點代碼轉換為節點名稱。

在程序啟動時，如果個人配置文件夾中有ss7pcs文件，則將其讀取。

該文件中的每一行都包含一個網絡指示器，后跟一個破折號，一個十進制的點代碼和一個由空格或制表符分隔的節點名稱。

一個例子是：

2-1234 MyPointCode1

程序啟動時會讀取此文件中的設置，而不是由Wireshark寫入。

subnets

Wireshark使用subnets文件將IPv4地址轉換為子網名稱。如果從hosts文件或DNS中找不到完全匹配的內容，Wireshark將嘗試對該地址的子網進行部分匹配。

在程序啟動時，如果個人配置文件夾中有一個subnets文件，則將首先讀取它。然后，如果 全局配置文件夾中存在一個subnets文件，則將其讀取；如果兩個文件中均設置了首選項，則全局首選項文件中的設置將覆蓋個人首選項文件中的設置。

這些文件之一中的每一行包括一個IPv4地址，一個子網掩碼長度（僅由“ /”分隔）和一個名稱（由空格分隔）。盡管該地址必須是完整的IPv4地址，但超出掩碼長度的所有值隨后都會被忽略。

一個例子是：

#Comments must be prepended by the # sign!
192.168.0.0/24 ws_test_network

部分匹配的名稱將被打印為“ subnet-name.remaining-address”。例如，以上子網下的“ 192.168.0.1”將被打印為“ ws_test_network.1”；如果上面的掩碼長度是16而不是24，則打印的地址將是“ ws_test_network.0.1”。

這些文件中的設置是在程序啟動時讀取的，而不是由Wireshark寫入的。

vlans

Wireshark使用vlans文件將VLAN標記ID轉換為名稱。

如果當前活動的配置文件文件夾中有一個VLAN文件，則使用該文件。否則，將使用個人配置文件夾中的vlans文件。

該文件中的每一行都包含一個VLAN標記ID和一個描述名稱，用空格或制表符分隔。

一個例子是：

123 Server-LAN
2049 HR-Client-LAN

程序啟動時或更改活動配置文件時，將從此文件中讀取設置，而Wireshark則不會寫入。

B.4。插件文件夾

Wireshark支持用于各種目的的插件。插件可以是用Lua編寫的腳本，也可以是用C或C ++編寫并編譯為機器代碼的代碼。

Wireshark在個人插件文件夾和全局插件文件夾中查找插件。Lua插件存儲在插件文件夾中；編譯后的插件存儲在plugin文件夾的子文件夾中，該子文件夾名稱為Wireshark次要版本號（XY）。每個Wireshark插件類型（libwireshark，libwiretap和編解碼器）都有另一個層次級別。因此，例如用于libwireshark插件位置 foo.so（foo.dll在Windows上）將PLUGINDIR / XY / EPAN （libwireshark曾經被稱為libepan;另一個文件夾名稱codecs 和wiretap）。

在Windows上：

• 個人插件文件夾為％APPDATA％\ Wireshark \ plugins。
• 全局插件文件夾為WIRESHARK \ plugins。

在類似Unix的系統上：

• 個人插件文件夾為?/ .local / lib / wireshark / plugins。

• tip
  為了更好地支持二進制插件，此文件夾在Wireshark 2.5中進行了更改。建議使用新文件夾，但for lua scripts only ，您可以繼續使用$ XDG_CONFIG_HOME / wireshark / plugins以獲得向后兼容性。并排安裝較舊版本的Wireshark很有用。如果新舊文件名重復，則以新文件夾為準。 |

• 如果您在macOS上運行，并且Wireshark作為應用程序捆綁包安裝，則全局插件文件夾為 ％APPDIR％/ Contents / PlugIns / wireshark，否則為 INSTALLDIR / lib / wireshark / plugins。

B.5。Windows文件夾

在這里，您將找到有關在不同Windows版本上的Wireshark中使用的文件夾的一些詳細信息。

如前所述，您可以在“About Wireshark”對話框中找到當前使用的文件夾。

B.5.1。Windows配置文件

Windows使用一些特殊目錄來存儲定義“user profile”的用戶配置文件。這可能會造成混淆，因為默認目錄位置在Windows版本之間更改，并且對于英語版本和國際化版本的Windows也可能有所不同。

| | 注意 |
| 如果您已升級到新的Windows版本，則您的配置文件可能會保留在以前的位置。這里提到的默認值可能不適用。 |

以下內容將指導您到尋找Wireshark的個人資料數據的正確位置。

Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Vista, and associated server editions

C:\Users\username\AppData\Roaming\Wireshark.

Windows XP and Windows Server 2003

C:\Documents and Settings*username*\Application Data. “Documents and Settings” 和“Application Data” 可能已國際化。

B.5.2。Windows漫游配置文件

一些較大的Windows環境使用漫游配置文件。在這種情況下，您使用的所有程序的配置都不會保存在本地硬盤上。它們將存儲在域服務器上。

您的設置將隨計算機在計算機之間轉移，只有一個例外。您的個人資料數據中的 “Local Settings”文件夾（通常類似： C:\Documents and Settings\username\Local Settings）將不會傳輸到domain server。這是臨時捕獲文件的默認設置。

B.5.3。Windows臨時文件夾

Wireshark使用由TMPDIR或TEMP環境變量設置的文件夾。該變量將由Windows安裝程序設置。

Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Vista, and associated server editions

C:\Users\username\AppData\Local\Temp

Windows XP and Windows Server 2003

C:\Documents and Settings\username\Local Settings\Temp

---

• tip
  Windows Server 2003 Wireshark不再支持。僅供歷史參考。