Я пытаюсь объединить 15 файлов pcap с помощью wireshark. Слияние прошло успешно.
Я использую функцию добавления, так что второй файл просто добавляется в нижнюю часть первого файла. Но когда это сделано, я получаю отрицательное значение в столбце время. Как я могу это изменить?
2864
это можно сделать с помощью joincap.
Kompgo get -u github.com/assafmo/joincap
слияние 1.pcap и 2.pcap:
joincap 1.pcap 2.pcap > merged.pcap
я писал joincap, чтобы преодолеть то, что я считаю, что это плохая обработка ошибок mergecap и tcpslice.
Для более подробной информации перейдите к https://github.com/assafmo/joincap.
Я предполагаю, что разница во времени между кадром 4873 и 4874 состоит в том, что эти пакеты были из разных файлов.
Я бы предложил использовать mergecap для слияния двух файлов PCAP вместе, а не просто объединять (добавлять) их, как вы это сделали. Mergecap объединяет пакеты в соответствии с меткой времени по умолчанию (использование параметра" - a " в mergecap приведет к объединению файла, подобного вашему).
другой вариант, чтобы загрузить два файла захвата в CapLoader, выберите все потоки и экспортировать их в новый файл PCAP (с помощью перетаскивания из значка PCAP).
наконец, если вы действительно хотите объединить / добавить и не иметь пакетов в хронологическом порядке, то вам просто нужно щелкнуть правой кнопкой мыши пакет с наименьшей временной меткой (например, кадр 4874) и выбрать "установить временную ссылку". Таким образом, все метки времени будут отображаться относительно этого пакета в Wireshark.
 |  |  |  |  |  |  |  |  |  |
Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]
