Wireshark объединяет файлы pcap

Question

Wireshark объединяет файлы pcap

Я пытаюсь объединить 15 pcap файлов с помощью wireshark. Слияние прошло успешно.

Я использую функцию добавления, так что второй файл просто добавляется в конец первого файла. Но когда это будет сделано, я получу отрицательное значение в столбце Время. Как я могу изменить это?

введите описание здесь

2

wireshark merge timestamp

Источник

Jishnu U Nair 24 мар '14 в 14:30

2 ответа

Другие вопросы по тегам wireshark merge timestamp

assafmo 27 июн '18 в 13:26 2018-06-27 13:26 · Answer 1 · 2018-06-27 13:26

Это можно сделать с помощью joincap.

go get -u github.com/assafmo/joincap

Объединить 1.pcap а также 2.pcap:

joincap 1.pcap 2.pcap > merged.pcap

я написал joincap преодолеть то, что я считаю плохой обработкой ошибок mergecap а также tcpslice,
Для получения более подробной информации перейдите по https://github.com/assafmo/joincap.

ErikH 25 мар '14 в 21:07 2014-03-25 21:07 · Answer 2 · 2014-03-25 21:07

Я предполагаю, что разница во времени между кадрами 4873 и 4874 заключается в том, что эти пакеты были из разных файлов.

Я бы предложил использовать mergecap для объединения двух файлов PCAP, а не просто объединять (добавлять) их, как вы. По умолчанию Mergecap объединяет пакеты в соответствии с отметкой времени (использование параметра -a в mergecap приведет к созданию объединенного файла, такого как ваш).

Другой вариант - загрузить два файла захвата в CapLoader, выбрать все потоки и экспортировать их в новый файл PCAP (с помощью перетаскивания из значка PCAP).

Наконец, если вы действительно хотите объединить / добавить и НЕ иметь пакеты в хронологическом порядке, то вам просто нужно щелкнуть правой кнопкой мыши пакет с наименьшей временной меткой (например, кадр 4874) и выбрать "Установить эталон времени". Таким образом, все метки времени будут отображаться относительно этого пакета в Wireshark.