合并pcap文件

我正在尝试使用Wireshark合并15个pcap文件。合并成功。我正在使用附加功能，以便将第二个文件添加到第一个文件的底部。但是完成此操作后，我在时间列中获得了-ve值。我该如何更改？我打算做的是，用这一个合并的文件替换这15个较小的文件。在此处输入图片说明

wireshark

— Jishnu U Nair
source

时间偏移量相对于第一帧的时间。您将要合并框架而不是串联文件。参见mergecap命令。

— 斯特凡Chazelas

Answers:

您需要mergecap不带-a选项使用。这将根据数据包时间戳按时间顺序合并它们。

mergecap -w mergedfile.pcap files*.pcap

— 卡里黑德
source

这可以使用joincap来完成。

go get -u github.com/assafmo/joincap

合并1.pcap和2.pcap：

joincap 1.pcap 2.pcap > merged.pcap

我写joincap这篇文章是为了克服我认为由mergecapand 处理错误的错误tcpslice。
有关更多详细信息，请访问https://github.com/assafmo/joincap。

— 阿萨莫
source

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.

Licensed under cc by-sa 3.0 with attribution required.