gabungkan file pcap

9

Saya mencoba untuk menggabungkan 15 file pcap menggunakan wireshark. Penggabungan berhasil. Saya menggunakan fungsi menambahkan sehingga file kedua baru saja ditambahkan ke bagian bawah file pertama. Tetapi ketika ini dilakukan, saya mendapatkan nilai -ve dalam kolom waktu. Bagaimana saya bisa mengubahnya? Yang ingin saya lakukan adalah, ganti 15 file yang lebih kecil ini dengan file yang digabungkan ini. masukkan deskripsi gambar di sini

wireshark Jishnu U Nair
sumber

5

time offset relatif terhadap waktu jika frame pertama. Anda ingin menggabungkan frame alih-alih menggabungkan file. Lihat mergecapperintahnya.

Stéphane Chazelas

6

Anda perlu menggunakan mergecaptanpa opsi -a. Ini akan menggabungkan mereka secara kronologis berdasarkan cap waktu paket.

mergecap -w mergedfile.pcap files*.pcap

http://www.wireshark.org/docs/man-pages/mergecap.html

Karyhead
sumber

1

Ini dapat dilakukan dengan menggunakan joincap .

go get -u github.com/assafmo/joincap

Untuk menggabungkan 1.pcapdan 2.pcap:

joincap 1.pcap 2.pcap > merged.pcap

Saya menulis joincapuntuk mengatasi apa yang saya yakini sebagai penanganan kesalahan yang buruk oleh mergecapdan tcpslice.
Untuk detail lebih lanjut, kunjungi https://github.com/assafmo/joincap .

assafmo
sumber

gabungkan file pcap

Jawaban: