Как объединить два файла tcpdump (файлы pcap)

Question

Как объединить два файла tcpdump, чтобы один трафик появлялся в файле за другим? В частности, я хочу «умножить» один файл tcpdump, чтобы все сеансы повторялись один за другим последовательно несколько раз.

Answer 1

mergecap может решить вашу проблему, но вы должны использовать ее с опцией '-a', иначе она временно переупорядочивает пакеты. Затем: mergecap -a file_1.pcap file_1.pcap file_1.cap -w output_file.pcap

Answer 2

Как говорят другие ответы, вы можете использовать File-> Merge в Wireshark, tcpslice или mergecap. Вы также можете перетащить файл в главное окно Wireshark. Если Wireshark / tcpdump / snort / Ntop / etc поддерживает pcap-ng, вы сможете просто объединить файлы захвата.

Answer 3

Wireshark имеет команду File -> Merge, которая должна сделать это.

Я также помню, что mergecap был инструментом для этого, но я давно его не использовал.

Answer 4

, чтобы присоединиться к нескольким pcap, используйте этот пакетный скрипт

все файлы pcap должны находиться в той же папке, в которой находится пакетный скрипт, а также первый файл pcap должен иметь имя 01.pcap, а второй должен быть 02.pcap, когда вы обращаетесь к каталогу, других ограничений нет.

@echo off
@setlocal enableextensions enabledelayedexpansion

set /a var1=1
set mergecapL="C:\Program Files\Wireshark"

dir /b *.pcap > list.txt
%mergecapL%\mergecap.exe -w %cd%\out%var1%.pcap %cd%\01.pcap %cd%\02.pcap
FOR /F "skip=2 delims=" %%A IN (list.txt) DO (
    set var2=!var1!
    set /a var1+=1
    %mergecapL%\mergecap.exe -w %cd%\out!var1!.pcap %cd%\out!var2!.pcap "%cd%\%%A"
    del out!var2!.pcap
)
del list.txt

Answer 5

Использовать mergecap из Wireshark:

mergecap ... -w output.cap

Answer 6

Попробуйте pcapjoiner (коммерческий, с демоверсией, ограниченной 1000 пакетов).