Estou tentando mesclar 15 arquivos pcap usando o wireshark. A fusão foi bem-sucedida.
Estou usando a função de acréscimo para que o segundo arquivo seja adicionado ao final do primeiro arquivo. Mas quando isso é feito, recebo um valor negativo na coluna Tempo. Como eu posso mudar isso?
Responder1
Isso pode ser feito usandojoincap.
go get -u github.com/assafmo/joincap
Para mesclar 1.pcape 2.pcap:
joincap 1.pcap 2.pcap > merged.pcap
Escrevi joincappara superar o que acredito ser um tratamento incorreto de erros por mergecape tcpslice.
Para mais detalhes acessehttps://github.com/assafmo/joincap.
Responder2
Presumo que a diferença de tempo entre os quadros 4873 e 4874 seja porque esses pacotes eram de arquivos diferentes.
Eu sugeriria usar o mergecap para mesclar os dois arquivos PCAP em vez de apenas concatená-los (anexá-los) como você fez. O Mergecap mescla os pacotes de acordo com o carimbo de data e hora por padrão (usar a opção "-a" no mergecap resultaria em um arquivo concatenado como o seu).
Outra opção é carregar os dois arquivos de captura emCapLoader, selecione todos os fluxos e exporte-os para um novo arquivo PCAP (arrastando e soltando no ícone PCAP).
Finalmente, se você realmente deseja concatenar/acrescentar e NÃO ter os pacotes em ordem cronológica, basta clicar com o botão direito no pacote com o menor timestamp (por exemplo, frame 4874) e selecionar "Set Time Reference". Dessa forma, todos os carimbos de data/hora serão mostrados em relação a esse pacote no Wireshark.