Estoy intentando fusionar 15 archivos pcap usando Wireshark. La fusión es exitosa.
Estoy usando la función de agregar para que el segundo archivo se agregue al final del primer archivo. Pero cuando hago esto, obtengo un valor negativo en la columna Tiempo. ¿Cómo puedo cambiar esto?
Respuesta1
Esto se puede hacer usandounirsecap.
go get -u github.com/assafmo/joincap
Para fusionar 1.pcapy 2.pcap:
joincap 1.pcap 2.pcap > merged.pcap
Escribí joincappara superar lo que creo que es un mal manejo de errores por parte de mergecapy tcpslice.
Para más detalles vaya ahttps://github.com/assafmo/joincap.
Respuesta2
Supongo que la diferencia de tiempo entre los cuadros 4873 y 4874 se debe a que estos paquetes provenían de archivos diferentes.
Sugeriría usar mergecap para fusionar los dos archivos PCAP en lugar de simplemente concatenarlos (agregarlos) como lo hizo. Mergecap fusiona los paquetes según la marca de tiempo de forma predeterminada (usar el modificador "-a" en mergecap daría como resultado un archivo concatenado como el suyo).
Otra opción es cargar los dos archivos de captura encargador de tapa, seleccione todos los flujos y expórtelos a un nuevo archivo PCAP (arrastrando y soltando desde el icono PCAP).
Finalmente, si realmente desea concatenar/añadir y NO tener los paquetes en orden cronológico, entonces sólo tiene que hacer clic derecho en el paquete con la marca de tiempo más pequeña (por ejemplo, el cuadro 4874) y seleccionar "Establecer referencia de tiempo". De esa manera, todas las marcas de tiempo se mostrarán relativas a ese paquete en Wireshark.