mesclar arquivos pcap

9

Estou tentando mesclar 15 arquivos pcap usando o wireshark. A fusão foi bem sucedida. Estou usando a função de acréscimo para que o segundo arquivo seja adicionado à parte inferior do primeiro arquivo. Mas quando isso é feito, recebo -ve valor na coluna de tempo. Como posso mudar isto? O que pretendo fazer é substituir esses 15 arquivos menores por esses arquivos mesclados. insira a descrição da imagem aqui

wireshark Jishnu U Nair
fonte

5

as compensações de tempo são relativas ao tempo do primeiro quadro. Você deseja mesclar os quadros em vez de concatenar os arquivos. Veja o mergecapcomando

Stéphane Chazelas

6

Você precisa usar mergecapsem a opção -a. Isso os mesclará cronologicamente com base no carimbo de data e hora do pacote.

mergecap -w mergedfile.pcap files*.pcap

http://www.wireshark.org/docs/man-pages/mergecap.html

karyhead
fonte

1

Isso pode ser feito usando o joincap .

go get -u github.com/assafmo/joincap

Para mesclar 1.pcape 2.pcap:

joincap 1.pcap 2.pcap > merged.pcap

Escrevi joincappara superar o que acredito ser um tratamento incorreto de erros por mergecape tcpslice.
Para mais detalhes, acesse https://github.com/assafmo/joincap .

assafmo
fonte

mesclar arquivos pcap

Respostas: