Ich versuche, 15 PCAP-Dateien mit Wireshark zusammenzuführen. Das Zusammenführen ist erfolgreich.
Ich verwende die Anfügefunktion, sodass die zweite Datei einfach an das Ende der ersten Datei angehängt wird. Wenn dies geschieht, erhalte ich jedoch einen negativen Wert in der Spalte „Zeit“. Wie kann ich dies ändern?
Antwort1
Dies kann erfolgen mitbeitretencap.
go get -u github.com/assafmo/joincap
So führen Sie 1.pcapzusammen 2.pcap:
joincap 1.pcap 2.pcap > merged.pcap
Ich habe geschrieben joincap, um die meiner Meinung nach schlechte Fehlerbehandlung durch mergecapund zu beheben tcpslice.
Weitere Einzelheiten finden Sie unterhttps://github.com/assafmo/joincap.
Antwort2
Ich gehe davon aus, dass der Zeitunterschied zwischen Frame 4873 und 4874 darauf zurückzuführen ist, dass diese Pakete aus unterschiedlichen Dateien stammten.
Ich würde vorschlagen, Mergecap zu verwenden, um die beiden PCAP-Dateien zusammenzuführen, anstatt sie einfach wie Sie zu verketten (anzuhängen). Mergecap führt die Pakete standardmäßig nach Zeitstempel zusammen (die Verwendung des Schalters „-a“ in Mergecap würde zu einer verketteten Datei wie Ihrer führen).
Eine weitere Möglichkeit besteht darin, die beiden Capture-Dateien zu laden inCapLoader, wählen Sie alle Flows aus und exportieren Sie sie in eine neue PCAP-Datei (per Drag-and-Drop vom PCAP-Symbol).
Wenn Sie die Pakete wirklich verketten/anhängen und NICHT in chronologischer Reihenfolge haben möchten, müssen Sie nur mit der rechten Maustaste auf das Paket mit dem kleinsten Zeitstempel (z. B. Frame 4874) klicken und „Zeitreferenz festlegen“ auswählen. Auf diese Weise werden alle Zeitstempel in Wireshark als relativ zu diesem Paket angezeigt.