fusionar archivos pcap

9

Estoy tratando de fusionar 15 archivos pcap usando wireshark. La fusión es exitosa. Estoy usando la función de agregar para que el segundo archivo se agregue al final del primer archivo. Pero cuando esto se hace, obtengo el valor -ve en la columna de tiempo. ¿Cómo puedo cambiar esto? Lo que pretendo hacer es reemplazar estos 15 archivos más pequeños con archivos fusionados. ingrese la descripción de la imagen aquí

wireshark Jishnu U Nair
fuente

55

Las compensaciones de tiempo son relativas al tiempo del primer fotograma. Querrá fusionar los marcos en lugar de concatenar los archivos. Ver el mergecapcomando.

Stéphane Chazelas

6

Debe usar mergecapsin la opción -a. Esto los fusionará cronológicamente según la marca de tiempo del paquete.

mergecap -w mergedfile.pcap files*.pcap

http://www.wireshark.org/docs/man-pages/mergecap.html

karyhead
fuente

1

Esto se puede hacer mediante joincap .

go get -u github.com/assafmo/joincap

Para fusionar 1.pcapy 2.pcap:

joincap 1.pcap 2.pcap > merged.pcap

Escribí joincappara superar lo que creo que es un mal manejo de errores por mergecapy tcpslice.
Para más detalles, visite https://github.com/assafmo/joincap .

Assafmo
fuente

fusionar archivos pcap

Respuestas: