Wireshark による pcap ファイルのマージ

Question 1

go get -u github.com/assafmo/joincap

1.pcapとをマージするには2.pcap：

joincap 1.pcap 2.pcap > merged.pcap

私はjoincap、とのエラー処理が悪いmergecapと私が考えるものを克服するために書きましたtcpslice。
詳細については、https://github.com/assafmo/joincap。

Answer

これは、ジョインキャップ。

go get -u github.com/assafmo/joincap

1.pcapとをマージするには2.pcap：

joincap 1.pcap 2.pcap > merged.pcap

私はjoincap、とのエラー処理が悪いmergecapと私が考えるものを克服するために書きましたtcpslice。
詳細については、https://github.com/assafmo/joincap。

Question 2

フレーム 4873 と 4874 の間の時間差は、これらのパケットが異なるファイルからのものであるためであると推測します。

2 つの PCAP ファイルを単に連結 (追加) するのではなく、mergecap を使用して 1 つにマージすることをお勧めします。mergecap は、デフォルトでタイムスタンプに従ってパケットをマージします (mergecap で "-a" スイッチを使用すると、あなたのファイルのように連結されたファイルが作成されます)。

もう一つの選択肢は、2つのキャプチャファイルをキャップローダーすべてのフローを選択し、新しい PCAP ファイルにエクスポートします (PCAP アイコンからドラッグアンドドロップを使用)。

最後に、パケットを時系列順に並べずに連結/追加したい場合は、タイムスタンプが最も小さいパケット (たとえば、フレーム 4874) を右クリックして、[時間参照の設定] を選択します。こうすることで、すべてのタイムスタンプが Wireshark でそのパケットを基準として表示されます。

Answer

フレーム 4873 と 4874 の間の時間差は、これらのパケットが異なるファイルからのものであるためであると推測します。

2 つの PCAP ファイルを単に連結 (追加) するのではなく、mergecap を使用して 1 つにマージすることをお勧めします。mergecap は、デフォルトでタイムスタンプに従ってパケットをマージします (mergecap で "-a" スイッチを使用すると、あなたのファイルのように連結されたファイルが作成されます)。

もう一つの選択肢は、2つのキャプチャファイルをキャップローダーすべてのフローを選択し、新しい PCAP ファイルにエクスポートします (PCAP アイコンからドラッグアンドドロップを使用)。

最後に、パケットを時系列順に並べずに連結/追加したい場合は、タイムスタンプが最も小さいパケット (たとえば、フレーム 4874) を右クリックして、[時間参照の設定] を選択します。こうすることで、すべてのタイムスタンプが Wireshark でそのパケットを基準として表示されます。

Wireshark による pcap ファイルのマージ

答え1

答え2

関連情報