Wireshark를 사용하여 15개의 pcap 파일을 병합하려고 합니다. 병합이 성공했습니다.
두 번째 파일이 첫 번째 파일의 맨 아래에 추가되도록 추가 기능을 사용하고 있습니다. 하지만 이 작업이 완료되면 Time 열에 음수 값이 표시됩니다. 이것을 어떻게 바꿀 수 있나요?
답변1
이 작업은 다음을 사용하여 수행할 수 있습니다.조인캡.
go get -u github.com/assafmo/joincap
병합하려면 다음을 1.pcap수행하십시오 2.pcap.
joincap 1.pcap 2.pcap > merged.pcap
나는 및 joincap에 의한 잘못된 오류 처리 문제를 극복하기 위해 글을 썼습니다 . 자세한 내용은 다음을 참조하세요.mergecaptcpslice
https://github.com/assafmo/joincap.
답변2
프레임 4873과 4874 사이의 시간 차이는 이 패킷이 다른 파일에서 왔기 때문이라고 가정합니다.
두 PCAP 파일을 단순히 연결(추가)하는 대신 mergecap을 사용하여 두 PCAP 파일을 병합하는 것이 좋습니다. Mergecap은 기본적으로 타임스탬프에 따라 패킷을 병합합니다(mergecap에서 "-a" 스위치를 사용하면 사용자와 같은 연결된 파일이 생성됩니다).
또 다른 옵션은 두 개의 캡처 파일을캡로더, 모든 흐름을 선택하고 새 PCAP 파일로 내보냅니다(PCAP 아이콘에서 끌어서 놓기 사용).
마지막으로, 패킷을 시간순으로 연결/추가하고 싶지 않다면 타임스탬프가 가장 작은 패킷(예: 프레임 4874)을 마우스 오른쪽 버튼으로 클릭하고 "시간 참조 설정"을 선택하면 됩니다. 이렇게 하면 모든 타임스탬프가 Wireshark의 해당 패킷을 기준으로 표시됩니다.