3.1　捕获接口的输出功能

在使用Wireshark的实例中，如果没有将捕获到的数据包保存起来，那么这些数据包的内容就都保存在一个临时文件中，当你关闭Wireshark的时候，系统会询问是否保存这些数据包，如果选择是，它们就会被保存到硬盘中，否则就会被丢弃。

实际上，我们既可以像这样在数据包捕获操作结束之后来完成保存操作，也可以在捕获操作开始之前就指定好保存操作。下面我们首先来了解在数据包捕获操作开始前就指定好保存选项的设置方法。

首先，你需要在菜单栏处依次单击“捕获”→“选项”，然后会弹出一个“Wireshark·捕获接口”的对话框，在这个对话框中有3个选项卡，分别为“输入”“输出”和“选项”，如图3-1所示。对文件的管理主要使用后两个选项卡。

图3-1　Wireshark的捕获接口的3个选项卡

默认情况下，文件后面的文本框有一段灰色的文字“留空使用临时文件”，这表示Wireshark并不会将捕获到的数据包永久保存起来。但是我们可以指定Wireshark将其保存为指定的文件，同时也指定保存的位置和格式。

单击文件右侧的“浏览”按钮，可以打开一个Windows文件管理器，在这个管理器中选择保存的位置并输入文件的名字（后缀名可以是pcapng或者pcap），如图3-2所示。

图3-2　在Wireshark中指定捕获文件

然后单击“保存”按钮，Wireshark中支持将捕获到的数据以“pcap-ng”和“pcap”两种形式保存起来，目前Wireshark推荐使用“pcap-ng”格式。

但是由于Wireshark往往会捕获到大量的数据包，尤其是在一个十分繁忙的网络中工作时，可能在很短的时间内，就会得到一个十分巨大的文件。这样在分析时会十分麻烦，有时Wireshark甚至会无法打开这样巨大的文件（你甚至会发现Wireshark停止响应）。一种有效的方法就是将这些数据包保存到多个文件中，Wireshark提供了一种智能的保存方法，它可以每经过一段时间就保存为一个文件，也可以每捕获到一定大小的数据就保存成一个文件。

下面我们以用时间分割为例，将每隔10秒捕获的数据保存为一个文件，使用的方法为勾选“自动创建新文件，经过…”，然后勾选下方的第2个复选框，在文本框中输入10，单位选择为“秒”（见图3-3）。

图3-3　“Wireshark·捕获接口”中“输出”选项

选择完毕之后，单击“开始”捕获数据包，这时Wireshark就会将每隔10秒捕获到的数据包单独的保存成文件。图3-4给出了保存文件的示例。

图3-4　在Wireshark中保存的文件

Wireshark会根据你前面设定的名字、包的顺序、抓包的时间来为这些文件命名，例如第一个文件的名字为test_00001_20180420085327，表示这是捕获的第一个数据包，是在2018年4月20日8点53分27秒完成的。