Networking 如何连接两个tcpdump文件(pcap文件)
如何连接两个tcpdump文件,以便一个流量在文件中一个接一个出现?具体地说,我想“倍增”一个tcpdump文件,这样所有会话都会依次重复几次。Wireshark有file->Merge命令来完成这项工作Networking 如何连接两个tcpdump文件(pcap文件),networking,tcp,wireshark,pcap,tcpdump,Networking,Tcp,Wireshark,Pcap,Tcpdump,如何连接两个tcpdump文件,以便一个流量在文件中一个接一个出现?具体地说,我想“倍增”一个tcpdump文件,这样所有会话都会依次重复几次。Wireshark有file->Merge命令来完成这项工作 我还记得mergecap是这样做的工具,但我已经有一段时间没有使用它了。正如其他答案所说,您可以在Wireshark、tcpslice或mergecap中使用File->Merge。您还可以将文件拖动到Wireshark的主窗口中。如果Wireshark/tcpdump/snort/Ntop/
我还记得mergecap是这样做的工具,但我已经有一段时间没有使用它了。正如其他答案所说,您可以在Wireshark、tcpslice或mergecap中使用File->Merge。您还可以将文件拖动到Wireshark的主窗口中。如果Wireshark/tcpdump/snort/Ntop/etc支持pcap ng,您就可以简单地连接捕获文件。使用Wireshark的mergecap:
合并帽-w output.capTry(商业版,演示限制为1000个数据包)。mergecap可以解决您的问题,但您必须将其与“-a”选项一起使用,否则它会临时重新排序数据包。然后:
mergecap-a file_1.pcap file_1.pcap file_1.cap-w output_file.pcap要加入多个pcap,请使用此批处理脚本 所有pcap文件必须位于批处理脚本所在的同一文件夹中,并且第一个pcap文件必须命名为01.pcap,第二个pcap文件必须命名为02.pcap。当您对目录进行定向时,没有其他限制
@echo off
@setlocal enableextensions enabledelayedexpansion
set /a var1=1
set mergecapL="C:\Program Files\Wireshark"
dir /b *.pcap > list.txt
%mergecapL%\mergecap.exe -w %cd%\out%var1%.pcap %cd%\01.pcap %cd%\02.pcap
FOR /F "skip=2 delims=" %%A IN (list.txt) DO (
set var2=!var1!
set /a var1+=1
%mergecapL%\mergecap.exe -w %cd%\out!var1!.pcap %cd%\out!var2!.pcap "%cd%\%%A"
del out!var2!.pcap
)
del list.txt
但是,它们不是都只是合并数据包数据,而不考虑数据包的顺序号和时间偏移,以便在时间上一个接一个地放置连接段。如果使用File->merge或mergecap,则可以选择按时间顺序进行预结束、合并(根据时间戳进行交错),或者追加。当您有mergecap时,为什么要使用商业的、封闭源代码的、有限的工具?请注意,mergecap是基于debian的distrosPossible复制的“wireshark common”包的一部分