Wireshark может читать ранее сохраненные файлы захвата. Чтобы прочитать их, просто выберите пункт меню « Файл/File» → « Открыть/Open» или «Панель инструментов». Затем Wireshark откроет диалоговое окно «Открыть файл», которое более подробно описано в разделе 5.2.1 «Диалоговое окно« Открыть файл захвата »» .
Удобно использовать drag-and-drop
Вы можете открыть файл, просто перетащив его в свой файловый менеджер и опустив его в главное окно Wireshark. Однако перетаскивание не всегда может быть доступно.
Если вы ранее не сохранили текущий файл захвата, вам будет предложено сделать это, чтобы предотвратить потерю данных. Это предупреждение можно отключить в настройках.
В дополнение к своему собственному файловому формату (pcapng) Wireshark может читать и записывать файлы захвата из большого количества других программ захвата пакетов.
Диалоговое окно «Открыть файл захвата»
Диалоговое окно «Открыть файл захвата/Open Capture File» позволяет вам найти файл захвата, содержащий ранее захваченные пакеты для отображения в Wireshark. В следующих разделах приведены примеры диалогового окна «Открытый файл» Wireshark. Внешний вид этого диалога зависит от системы. Однако функциональность должна быть одинаковой для всех систем.
Общее поведение диалога во всех системах:
- Выберите файлы и каталоги.
- Нажмите кнопку « Открыть» или « ОК» , чтобы принять выбранный файл и открыть его.
- Нажмите кнопку « Отмена» , чтобы вернуться в Wireshark и не загружать файл захвата.
Сэкономьте много времени, загружая огромные файлы захвата
При просмотре пакетов вы можете изменить настройки фильтра отображения и разрешения имен. Однако при загрузке огромных файлов захвата может потребоваться значительное дополнительное время, если эти параметры будут изменены позже, поэтому в таких ситуациях может быть хорошей идеей установить по крайней мере фильтр заранее здесь.
Форматы входных файлов
Wireshark может открывать следующие форматы файлов из других инструментов захвата (на первом скриншоте в статье можно увидеть почти все форматы):
- pcapng. A flexible, etensible successor to the libpcap format. Wireshark 1.8 and later save files as pcapng by default. Versions prior to 1.8 used libpcap.
- libpcap. The default format used by the libpcap packet capture library. Used by tcpdump, _Snort , Nmap , Ntop , and many other tools.
- Oracle (previously Sun) snoop and atmsnoop
- Finisar (previously Shomiti) Surveyor captures
- Microsoft Network Monitor captures
- Novell LANalyzer captures
- AIX iptrace captures
- Cinco Networks NetXray captures
- Network Associates Windows-based Sniffer and Sniffer Pro captures
- Network General/Network Associates DOS-based Sniffer (compressed or uncompressed) captures
- AG Group/WildPackets/Savvius EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber captures
- RADCOM’s WAN/LAN Analyzer captures
- Network Instruments Observer version 9 captures
- Lucent/Ascend router debug output
- HP-UX’s nettl
- Toshiba’s ISDN routers dump output
- ISDN4BSD i4btrace utility
- traces from the EyeSDN USB S0
- IPLog format from the Cisco Secure Intrusion Detection System
- pppd logs (pppdump format)
- the output from VMS’s TCPIPtrace/TCPtrace/UCX$TRACE utilities
- the text output from the DBS Etherwatch VMS utility
- Visual Networks’ Visual UpTime traffic capture
- the output from CoSine L2 debug
- the output from Accellent’s 5Views LAN agents
- Endace Measurement Systems’ ERF format captures
- Linux Bluez Bluetooth stack hcidump -w traces
- Catapult DCT2000 .out files
- Gammu generated text output from Nokia DCT3 phones in Netmonitor mode
- IBM Series (OS/400) Comm traces (ASCII & UNICODE)
- Juniper Netscreen snoop captures
- Symbian OS btsnoop captures
- Tamosoft CommView captures
- Textronix K12xx 32bit .rf5 format captures
- Textronix K12 text file format captures
- Apple PacketLogger captures
- Captures from Aethra Telecommunications’ PC108 software for their test instruments
Захватывает программное обеспечение PC108 от Aethra Telecommunications
Время от времени добавляются новые форматы файлов.
Возможно, не удастся прочитать некоторые форматы, зависящие от захваченных типов пакетов. Захваты Ethernet обычно поддерживаются для большинства форматов файлов, но может быть невозможно прочитать типы пакетов, такие как PPP или IEEE 802.11, из всех форматов файлов.
