1. Wireshark 導入文件

打開Wireshark wiki，點擊SampleCaptures，可以看到 Wireshark 官方上傳的一些 pcap 文件。

點擊SampleCaptures后，可以看到文件后綴名有cap，pcap，pcapng，pcap.gz。一般來說我們平時能遇到的文件格式就這么4種了。

前三種文件可以直接雙擊打開，也可以拖拽進已經打開的 Wireshark中。gz格式直接拖入Wireshark 即可。

Wireshark 每次啟動都會進行一系列的初始化，如果有大量 pcap文件想要查看，直接拖入已經打開的 Wireshark 是比較好的選擇，可以只初始化一次，節(jié)省時間。

Wireshark 中的文件選項也提供了導入文件方式：

2. Wireshark 導出文件

選擇文件，可以看到 Wireshark 提供了許多的保存和導出方式。

這里仔細介紹一下可能用到的導出選項的含義：

• 導出特定分組：默認為導出顯示的分組，保存為新的 pcap 文件

• 導出分組解析結果：導出分組列表中的各個字段解析結果，保存為文本文件或 csv 文件

• 導出分組字節(jié)流：選中特定分組后，導出其字節(jié)流，保存為 dat 或 raw 文件

• 導出對象：導出 Wireshark 解析出的 HTTP 傳輸文件、SMB文件等

導出特定分組功能需要配合顯示過濾器一起使用。即先使用規(guī)則過濾出符合規(guī)則的數(shù)據(jù)包，然后使用導出特定分組功能導出，保存為純凈的 pcap 文件。

導出分組解析結果可以配合添加字段功能一起使用。先在分組列表中添加關鍵字段如 http.host 或 tls.handshake.extensions_server_name，然后導出分組解析結果。就可以高效地提取出關鍵字段。使用tshark也可以實現(xiàn)類似效果。

導出對象可以選擇導出特定的文件，或者全部導出。

Wireshark 的重組功能并非在任何情況下都能正常使用，有時候導出的對象可能不完整，這時候需要自行編程提取文件。

3. 總結

作為系列的第三篇，本文介紹了文件的導入和導出，比較簡單。接下來的第四篇，我會介紹如何使用 Wireshark 分析 pcap 文件。使用 Wireshark 分析數(shù)據(jù)包是教程的重中之重，內容比較豐富，我會盡力將這部分打磨得比較完整。

Wireshark wiki是個好地方，有各種奇奇怪怪的數(shù)據(jù)包，比如4in6.pcap，6in4.pcap等等，都是平時網絡上很難抓到的數(shù)據(jù)?？梢韵螺d下來看看，挺有意思的。

捕獲樣例界面拉到底，還可以看到許多捕獲請求，有機會的話甚至可以自行上傳一些 pcap 文件，為 Wireshark 做一點貢獻。