我创建了一个合并脚本,将文件夹中的所有pcap文件合并到一个文件中。合并功能有效。但有没有办法测试合并文件和输入文件的内容是否相同?因为我必须通过文件读取的应用程序说,合并文件有些腐败。
答案 0 :(得分:1)
尝试使用wireshark或tcpdump加载合并文件,该文件应该告诉您它是否已损坏。但也许文件没有损坏,但是你的应用程序无法理解的格式。尝试与输出格式'pcap'合并,例如mergecap -F pcap,因为某些应用程序无法与pcapng一起使用(由wireshark使用)。
答案 1 :(得分:0)
mergecap和tcpslice有时会发生这种情况。如果输入的pcap文件不完美,它们将无法正常工作。
这可以使用joincap来解决。
go get -u github.com/assafmo/joincap
合并1.pcap和2.pcap:
joincap 1.pcap 2.pcap > merged.pcap
我写了joincap来克服我认为mergecap和tcpslice错误处理的错误。
有关详细信息,请转到https://github.com/assafmo/joincap。