объединить файлы pcap

9

Я пытаюсь объединить 15 pcap файлов с помощью wireshark. Слияние прошло успешно. Я использую функцию добавления, так что второй файл просто добавляется в конец первого файла. Но когда это сделано, я получаю -ve значение в столбце времени. Как я могу изменить это? То, что я собираюсь сделать, это заменить эти 15 небольших файлов на эти объединенные файлы. введите описание изображения здесь

wireshark Джишну У Наир
источник

5

временные смещения относительно времени первого кадра. Вы захотите объединить кадры вместо объединения файлов. Смотрите mergecapкоманду.

Стефан Шазелас

6

Вы должны использовать mergecapбез опции -a. Это объединит их в хронологическом порядке на основе метки времени пакета.

mergecap -w mergedfile.pcap files*.pcap

http://www.wireshark.org/docs/man-pages/mergecap.html

karyhead
источник

1

Это можно сделать с помощью joincap .

go get -u github.com/assafmo/joincap

Чтобы объединить 1.pcapи 2.pcap:

joincap 1.pcap 2.pcap > merged.pcap

Я написал, joincapчтобы преодолеть то, что я считаю плохой обработкой ошибок mergecapи tcpslice.
Для получения более подробной информации перейдите по ссылке https://github.com/assafmo/joincap .

assafmo
источник

объединить файлы pcap

Ответы: