wireshark网络封包抓包工具导入/导出pcap文件

1、Wireshark导入文件

打开Wireshark wiki，点击SampleCaptures，可以看到 Wireshark 官方上传的一些 pcap 文件。

点击SampleCaptures后，可以看到文件后缀名有cap，pcap，pcapng，pcap.gz。一般来说我们平时能遇到的文件格式就这么4种。 

前三种文件可以直接双击打开，也可以拖拽进已经打开的 Wireshark中。gz格式直接拖入Wireshark 即可。 

注意：Wireshark 抓包工具每次启动都会进行一系列的初始化。

所以如果有大量 pcap文件想要查看，直接拖入已经打开的 Wireshark 是比较好的选择，可以只初始化一次，节省时间。 

Wireshark抓包工具中的文件选项也提供了导入文件方式：（快捷键为Ctrl+O）

2、Wireshark 导出文件

选择文件，可以看到 Wireshark 提供了许多的保存和导出方式。 

介绍一下可能用到的导出选项的含义： 

①导出特定分组：默认为导出显示的分组，保存为新的 pcap 文件。新的pacp文件只保存了根据过滤规则过滤后的特定网络包。

• 导出特定分组功能需要配合显示过滤器一起使用。即先使用规则过滤出符合规则的数据包，然后使用导出特定分组功能导出，保存为纯净的 pcap 文件。 

②导出分组解析结果：导出分组列表中的各个字段解析结果，保存为文本文件或 csv 文件。

• 导出分组解析结果可以配合添加字段功能一起使用。先在分组列表中添加关键字段如 http.host 或 tls.handshake.extensions_server_name，然后导出分组解析结果。就可以高效地提取出关键字段。使用tshark也可以实现类似效果。

③导出分组字节流：选中特定分组后，导出其字节流，保存为 dat 或 raw 文件。

④导出对象：导出 Wireshark 解析出的 HTTP 传输文件、SMB文件等。

• 导出对象可以选择导出特定的文件，或者全部导出。