Я пытаюсь объединить 15 pcap-файлов с помощью wireshark. Объединение прошло успешно.
Я использую функцию добавления, чтобы второй файл просто добавлялся в конец первого файла. Но когда это делается, я получаю отрицательное значение в столбце Time. Как это изменить?
решение1
Это можно сделать с помощьюjoincap.
go get -u github.com/assafmo/joincap
Чтобы объединить 1.pcapи 2.pcap:
joincap 1.pcap 2.pcap > merged.pcap
Я написал, joincapчтобы преодолеть то, что я считаю плохой обработкой ошибок с помощью mergecapи tcpslice.
Для получения более подробной информации перейдите по ссылкеhttps://github.com/assafmo/joincap.
решение2
Я предполагаю, что разница во времени между кадрами 4873 и 4874 вызвана тем, что эти пакеты были из разных файлов.
Я бы предложил использовать mergecap для слияния двух файлов PCAP вместе вместо того, чтобы просто конкатенировать (добавлять) их, как вы сделали. Mergecap по умолчанию объединяет пакеты в соответствии с временной меткой (использование ключа "-a" в mergecap приведет к конкатенированному файлу, как у вас).
Другой вариант — загрузить два файла захвата вCapLoader, выберите все потоки и экспортируйте их в новый файл PCAP (с помощью перетаскивания из значка PCAP).
Наконец, если вы действительно хотите объединить/добавить пакеты и НЕ располагать их в хронологическом порядке, то вам просто нужно щелкнуть правой кнопкой мыши по пакету с наименьшей временной меткой (например, кадр 4874) и выбрать «Установить временную привязку». Таким образом, все временные метки будут отображаться относительно этого пакета в Wireshark.