unire i file pcap

Sto cercando di unire 15 file pcap usando WireShark. La fusione ha successo. Sto usando la funzione di aggiunta in modo che il secondo file sia appena aggiunto alla fine del primo file. Ma quando questo è fatto, ottengo -ve valore nella colonna del tempo. Come posso cambiarlo? Quello che intendo fare è sostituire questi 15 file più piccoli con questi file uniti. inserisci qui la descrizione dell'immagine

wireshark

— Jishnu U Nair
fonte

gli offset di tempo sono relativi al tempo se il primo fotogramma. Ti consigliamo di unire i frame invece di concatenare i file. Vedi il mergecapcomando

— Stéphane Chazelas,

Risposte:

Devi usare mergecapsenza l'opzione -a. Questo li unirà cronologicamente in base al timestamp dei pacchetti.

mergecap -w mergedfile.pcap files*.pcap

http://www.wireshark.org/docs/man-pages/mergecap.html

— karyhead
fonte

Questo può essere fatto usando joincap .

go get -u github.com/assafmo/joincap

Per unire 1.pcape 2.pcap:

joincap 1.pcap 2.pcap > merged.pcap

Ho scritto joincapper superare quello che credo sia una cattiva gestione degli errori da parte di mergecape tcpslice.
Per maggiori dettagli vai a https://github.com/assafmo/joincap .

— assafmo
fonte

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.

Licensed under cc by-sa 3.0 with attribution required.