PCAP-Dateien zusammenführen

9

Ich versuche 15 pcap-Dateien mit wireshark zusammenzuführen. Die Zusammenführung ist erfolgreich. Ich verwende die Funktion zum Anhängen, sodass die zweite Datei nur am Ende der ersten Datei hinzugefügt wird. Aber wenn dies erledigt ist, erhalte ich -ve Wert in der Zeitspalte. Wie kann ich das ändern? Was ich vorhabe, ist, diese 15 kleineren Dateien durch diese zusammengeführten Dateien zu ersetzen. Geben Sie hier die Bildbeschreibung ein

wireshark Jishnu U Nair
quelle

5

Zeitversätze sind relativ zur Zeit im ersten Frame. Sie möchten die Frames zusammenführen, anstatt die Dateien zu verketten. Siehe den mergecapBefehl.

Stéphane Chazelas

6

Sie müssen mergecapohne die Option -a verwenden. Dadurch werden sie basierend auf dem Paketzeitstempel chronologisch zusammengeführt.

mergecap -w mergedfile.pcap files*.pcap

http://www.wireshark.org/docs/man-pages/mergecap.html

Karyhead
quelle

1

Dies kann mit joincap erfolgen .

go get -u github.com/assafmo/joincap

Zusammenführen 1.pcapund 2.pcap:

joincap 1.pcap 2.pcap > merged.pcap

Ich schrieb joincap, um zu überwinden, was meiner Meinung nach eine schlechte Fehlerbehandlung durch mergecapund ist tcpslice.
Weitere Informationen finden Sie unter https://github.com/assafmo/joincap .

assafmo
quelle

PCAP-Dateien zusammenführen

Antworten: