我有很多我想要合并的捕获文件。合并文件来自linux服务器(包括Ubuntu和Centos),Macbook Pro和Windows机器。除了mac转储外,它们都很好用。
但是当我尝试合并mac中的文件时,我收到此错误:
" mergecap:" scenario_4_mbp.pcap"的记录222其接口ID与其文件中的任何IDB都不匹配。"
我查看了特定数据包,它是Dropbox LAN同步发现协议。出于我的目的,我甚至不关心它,我想尽快过滤它,但我似乎无法使过滤器正确。
我尝试过滤:
ip.proto != db-lsp-disc
ip.proto not db-lsp-disc
但我收到错误,没有任何过滤。
假设我能够应用显示过滤器,如何保存文件没有Dropbox数据包?最终,这会解决我的合并问题吗?
答案 0 :(得分:0)
我可以使用Wireshark阅读并打开文件,但我无法将其与场景中的其他文件合并。
然后这可能是mergecap中的一个错误。请在the Wireshark Bugzilla上提交一个错误,如果可能的话,请附上证明该错误的错误捕获文件。
答案 1 :(得分:0)
我遇到了同样的问题,我的案例中的违规文件也是在MacOS计算机上使用tcpdump创建的。
我能够通过打开Wireshark中的违规文件来解决问题,该文件没有任何问题,然后在新的.pcapng文件中执行“另存为”,然后再次运行mergecap替换违规行为文件与新创建的副本。
保存为常规.pcap文件似乎也有效,但文件中有注释(至少是接口名称),常规.pcap会消失。