mesclar arquivos pcap

Estou tentando mesclar 15 arquivos pcap usando o wireshark. A fusão foi bem sucedida. Estou usando a função de acréscimo para que o segundo arquivo seja adicionado à parte inferior do primeiro arquivo. Mas quando isso é feito, recebo -ve valor na coluna de tempo. Como posso mudar isto? O que pretendo fazer é substituir esses 15 arquivos menores por esses arquivos mesclados. insira a descrição da imagem aqui

wireshark

— Jishnu U Nair
fonte

as compensações de tempo são relativas ao tempo do primeiro quadro. Você deseja mesclar os quadros em vez de concatenar os arquivos. Veja o mergecapcomando

— Stéphane Chazelas

Respostas:

Você precisa usar mergecapsem a opção -a. Isso os mesclará cronologicamente com base no carimbo de data e hora do pacote.

mergecap -w mergedfile.pcap files*.pcap

http://www.wireshark.org/docs/man-pages/mergecap.html

— karyhead
fonte

Isso pode ser feito usando o joincap .

go get -u github.com/assafmo/joincap

Para mesclar 1.pcape 2.pcap:

joincap 1.pcap 2.pcap > merged.pcap

Escrevi joincappara superar o que acredito ser um tratamento incorreto de erros por mergecape tcpslice.
Para mais detalhes, acesse https://github.com/assafmo/joincap .

— assafmo
fonte

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.

Licensed under cc by-sa 3.0 with attribution required.