1. 概述

在Wireshark之抓包原理剖析一文中，详细讲述了Wireshark网络分析器的功能以及其抓包原理。接下来本篇文章将详细讲述如何将Wireshark网络分析器抓到的数据包以多种不同的方式进行保存。从官网可以了解到其Wireshark支持以不同格式和不同文件类型的方式来保存其主抓包窗口中的数据。

2. Wireshark查看版本号

若不知当前在使用中的Wireshark协议分析器的版本号，则可通过“菜单栏 -【帮助】”选项，然后再点击【关于Wireshark（A）】，便可弹窗当前 Wireshark 的相关详细信息。如图1所示。

▲Wireshark版本号等相关信息

从图1可以看到当前使用中的Wireshark版本号是 2.6.6。

3. Wireshark查看各种系统文件夹

Wireshark协议分析器软件在计算机某磁盘路径上存储着各种文件的系统文件夹。如：个人配置信息、全局配置信息、抓包文件存储路径和一些插件存储磁盘路径等等。如图2所示，其打开方式参考前面的第2节内容。文件夹下的“文件对话框”是我将主窗口中的抓包文件存储的位置。因此，若下次忘记将抓包文件遗忘了放在磁盘上的具体位置，不必漫无目的、大费周折地去四处寻找，直接打开Wireshark中的这个页面，就一目了然了。

▲ Wireshark版本号等相关信息

4. Wireshark抓包文件保存

本节着重点在于说明如何保存抓包到的数据，因此，如何抓取特定数据包以及从抓取到的众多数据包中筛选出某个符合条件的数据等操作方法不在这里涉及，后面会有章节专门用于说明其过滤数据包的操作。这里的抓包只是很简单、基础的方式，即直接点击Wireshark上面的“开始捕获数据包”按钮，然后抓取本机所有网卡上面流经的所有网络数据包。有两种打开方式。

•  方法一

▲ Wireshark抓包方式一

• 方法二

▲ Wireshark抓包方式二

4.1 保存完整的数据包

保存主窗口中抓取的完整数据包，很简单，直接点击“菜单栏-【文件】”按钮，然后再点击【保存】 或是 【另存储】即可。

▲ Wireshark保存完整数据包

4.2 保存部分数据包

可以对Wireshark主窗口中展示的完整数据包进行选择性地保存部分数据包的方式。比如仅保存：编号多少的数据包、已经标记的数据包、已选择的数据包或是经过显示过滤器过滤后的数据包等等。

4.2.1 保存经“显示过滤器”过滤后的数据包

对主窗口中抓取到的所有数据包进行“显示过滤器”过滤。这里筛选条件是“找出源ip地址是xx和目的ip地址是xx” 的满足条件的数据包，经过过滤之后，可以看到最终有3个数据包满足条件，分别如下：

▲ Wireshark数据包列表进行“显示过滤”

对显示过滤后的这3条数据包进行存储，选择“菜单栏-【文件（F）】”，然后再选择【导出特定分组…】，便可弹出右下角的存储选择提示框信息。最后再选择 【All packets】，【Displayed】，指定文件名便可完成该存操作。

▲Wireshark保存经显示过滤后的数据包

4.2.2 保存“两个标记数据包区域”范围的数据包

对主窗口中的数据包列表，根据自己的选择对需要的数据进行标记（标记方法：鼠标选中要标记的数据包，右键便可弹出“标记”选项）。这里已经标记了两个数据包，且两个数据包之间相隔3个数据包列表。如图7所示。

▲ Wireshark标记2个数据包

选择“菜单栏-【文件（F）】”，然后再选择【导出特定分组…】，便可弹出右下角的存储选择提示框信息。最后再选择 【First to last marked】，【Displayed】，指定文件名便可完成该存操作。备注：从图8可以看到，Displayed下面提示的数据为“5”，和我们标记的2个数据包已经范围区间的数据量是吻合的。

▲ Wireshark保存标记的2个数据包

4.2.3 保存“指定编号范围内”的数据包

如右下图中的1处所示，数据包编号范围是371-375，共5个数据包（备注：起始编号和结束编号之间的横杆需要用空格分隔）。

▲ Wireshark保存数据包编号范围内的数据包

4.2.4 保存“带标记”的数据包

当前标记了共9个数据包，如图10所示。

图10 Wireshark标记10个数据包

其保存操作选择如下图11所示。

▲1 Wireshark保存标记的10个数据包

4.2.5 保存“已选中”的数据包

选中编号为360的这个数包，然后其他步骤和前面一样。接着选择【Selected packet】，然后给文件命名，点击保存按钮即可。

▲ Wireshark保存选中的数据包

?分享、点赞、在看，给个3连击呗！?

本文使用 文章同步助手 同步