fusionner des fichiers pcap

9

J'essaie de fusionner 15 fichiers PCAP à l'aide de Wireshark. La fusion est réussie. J'utilise la fonction d'ajout pour que le deuxième fichier soit simplement ajouté au bas du premier fichier. Mais lorsque cela est fait, j'obtiens la valeur -ve dans la colonne de temps. Comment puis-je changer cela? Ce que j'ai l'intention de faire est de remplacer ces 15 fichiers plus petits par celui-ci fusionné. entrez la description de l'image ici

wireshark Jishnu U Nair
la source

5

les décalages horaires sont relatifs à l'heure de la première image. Vous voudrez fusionner les cadres au lieu de concaténer les fichiers. Voir la mergecapcommande.

Stéphane Chazelas

6

Vous devez utiliser mergecapsans l'option -a. Cela les fusionnera chronologiquement en fonction de l'horodatage des paquets.

mergecap -w mergedfile.pcap files*.pcap

http://www.wireshark.org/docs/man-pages/mergecap.html

karyhead
la source

1

Cela peut être fait en utilisant joincap .

go get -u github.com/assafmo/joincap

Pour fusionner 1.pcapet 2.pcap:

joincap 1.pcap 2.pcap > merged.pcap

J'ai écrit joincappour surmonter ce que je crois être une mauvaise gestion des erreurs par mergecapet tcpslice.
Pour plus de détails, rendez-vous sur https://github.com/assafmo/joincap .

assafmo
la source

fusionner des fichiers pcap

Réponses: