使用 Wireshark 导入/导出pcap文件——Wireshark 新手教程(3)

1. Wireshark 导入文件

打开Wireshark wiki，点击SampleCaptures，可以看到 Wireshark 官方上传的一些 pcap 文件。

点击SampleCaptures后，可以看到文件后缀名有cap，pcap，pcapng，pcap.gz。一般来说我们平时能遇到的文件格式就这么4种了。

前三种文件可以直接双击打开，也可以拖拽进已经打开的 Wireshark中。gz格式直接拖入Wireshark 即可。

Wireshark 每次启动都会进行一系列的初始化，如果有大量 pcap文件想要查看，直接拖入已经打开的 Wireshark 是比较好的选择，可以只初始化一次，节省时间。

Wireshark 中的文件选项也提供了导入文件方式：

2. Wireshark 导出文件

选择文件，可以看到 Wireshark 提供了许多的保存和导出方式。

这里仔细介绍一下可能用到的导出选项的含义：

• 导出特定分组：默认为导出显示的分组，保存为新的 pcap 文件

• 导出分组解析结果：导出分组列表中的各个字段解析结果，保存为文本文件或 csv 文件

• 导出分组字节流：选中特定分组后，导出其字节流，保存为 dat 或 raw 文件

• 导出对象：导出 Wireshark 解析出的 HTTP 传输文件、SMB文件等

导出特定分组功能需要配合显示过滤器一起使用。即先使用规则过滤出符合规则的数据包，然后使用导出特定分组功能导出，保存为纯净的 pcap 文件。

导出分组解析结果可以配合添加字段功能一起使用。先在分组列表中添加关键字段如 http.host 或 tls.handshake.extensions_server_name，然后导出分组解析结果。就可以高效地提取出关键字段。使用tshark也可以实现类似效果。

导出对象可以选择导出特定的文件，或者全部导出。

Wireshark 的重组功能并非在任何情况下都能正常使用，有时候导出的对象可能不完整，这时候需要自行编程提取文件。

3. 总结

作为系列的第三篇，本文介绍了文件的导入和导出，比较简单。接下来的第四篇，我会介绍如何使用 Wireshark 分析 pcap 文件。使用 Wireshark 分析数据包是教程的重中之重，内容比较丰富，我会尽力将这部分打磨得比较完整。

Wireshark wiki是个好地方，有各种奇奇怪怪的数据包，比如4in6.pcap，6in4.pcap等等，都是平时网络上很难抓到的数据。可以下载下来看看，挺有意思的。

捕获样例界面拉到底，还可以看到许多捕获请求，有机会的话甚至可以自行上传一些 pcap 文件，为 Wireshark 做一点贡献。