Wireshark 合併 pcap 文件

Question 1

這可以使用以下方法完成連接帽。

go get -u github.com/assafmo/joincap

合併1.pcap和2.pcap：

joincap 1.pcap 2.pcap > merged.pcap

我寫這篇文章是joincap為了克服我認為mergecap和的錯誤處理不好的地方tcpslice。
欲了解更多詳情，請訪問https://github.com/assafmo/joincap。

Answer

這可以使用以下方法完成連接帽。

go get -u github.com/assafmo/joincap

合併1.pcap和2.pcap：

joincap 1.pcap 2.pcap > merged.pcap

我寫這篇文章是joincap為了克服我認為mergecap和的錯誤處理不好的地方tcpslice。
欲了解更多詳情，請訪問https://github.com/assafmo/joincap。

Question 2

我假設幀 4873 和 4874 之間的時間差是因為這些資料包來自不同的檔案。

我建議使用 mergecap 將兩個 PCAP 檔案合併在一起，而不是像您那樣只是連接（附加）它們。預設情況下，Mergecap 根據時間戳合併資料包（在 mergecap 中使用“-a”開關將產生像您一樣的串聯檔案）。

另一種選擇是將兩個捕獲檔案載入到裝蓋機，選擇所有流，並將它們匯出到新的 PCAP 檔案（透過使用 PCAP 圖示的拖放操作）。

最後，如果您確實想要連接/追加而不是按時間順序排列資料包，那麼您只需右鍵單擊具有最小時間戳記的資料包（例如幀 4874）並選擇“設定時間參考”。這樣，所有時間戳將在 Wireshark 中顯示為相對於該封包。

Answer

我假設幀 4873 和 4874 之間的時間差是因為這些資料包來自不同的檔案。

我建議使用 mergecap 將兩個 PCAP 檔案合併在一起，而不是像您那樣只是連接（附加）它們。預設情況下，Mergecap 根據時間戳合併資料包（在 mergecap 中使用“-a”開關將產生像您一樣的串聯檔案）。

另一種選擇是將兩個捕獲檔案載入到裝蓋機，選擇所有流，並將它們匯出到新的 PCAP 檔案（透過使用 PCAP 圖示的拖放操作）。

最後，如果您確實想要連接/追加而不是按時間順序排列資料包，那麼您只需右鍵單擊具有最小時間戳記的資料包（例如幀 4874）並選擇“設定時間參考”。這樣，所有時間戳將在 Wireshark 中顯示為相對於該封包。

相關內容