Wireshark 合并 pcap 文件

Question 1

这可以使用连接帽。

go get -u github.com/assafmo/joincap

合并1.pcap和2.pcap：

joincap 1.pcap 2.pcap > merged.pcap

我写这篇文章joincap是为了克服我认为的mergecap和的错误处理不当tcpslice。
有关更多详细信息，请访问https://github.com/assafmo/joincap。

Answer

这可以使用连接帽。

go get -u github.com/assafmo/joincap

合并1.pcap和2.pcap：

joincap 1.pcap 2.pcap > merged.pcap

我写这篇文章joincap是为了克服我认为的mergecap和的错误处理不当tcpslice。
有关更多详细信息，请访问https://github.com/assafmo/joincap。

Question 2

我假设第 4873 帧和第 4874 帧之间的时间差异是因为这些数据包来自不同的文件。

我建议使用mergecap将两个PCAP文件合并在一起，而不是像你一样只是将它们连接起来（附加）。默认情况下，Mergecap会根据时间戳合并数据包（使用mergecap中的“-a”开关将产生像你这样的连接文件）。

另一个选择是将两个捕获文件加载到瓶盖装载机，选择所有流，然后将其导出到新的 PCAP 文件（通过从 PCAP 图标进行拖放）。

最后，如果您确实想要连接/附加并且不按时间顺序排列数据包，那么您只需右键单击具有最小时间戳的数据包（例如帧 4874）并选择“设置时间参考”。这样，Wireshark 中所有时间戳都将显示为相对于该数据包。

Answer

我假设第 4873 帧和第 4874 帧之间的时间差异是因为这些数据包来自不同的文件。

我建议使用mergecap将两个PCAP文件合并在一起，而不是像你一样只是将它们连接起来（附加）。默认情况下，Mergecap会根据时间戳合并数据包（使用mergecap中的“-a”开关将产生像你这样的连接文件）。

另一个选择是将两个捕获文件加载到瓶盖装载机，选择所有流，然后将其导出到新的 PCAP 文件（通过从 PCAP 图标进行拖放）。

最后，如果您确实想要连接/附加并且不按时间顺序排列数据包，那么您只需右键单击具有最小时间戳的数据包（例如帧 4874）并选择“设置时间参考”。这样，Wireshark 中所有时间戳都将显示为相对于该数据包。

相关内容