如何连接两个tcpdump文件(pcap文件)

时间:2009-05-26 21:24:42

标签: networking tcp wireshark pcap tcpdump

如何连接两个tcpdump文件,以便一个流量会在文件中出现?具体来说,我想“繁殖”一个tcpdump文件,以便所有会话将一个接一个地重复连续几次。

6 个答案:

答案 0 :(得分:27)

mergecap可以解决您的问题,但您必须使用'-a'选项,否则它会暂时重新排序数据包。然后: mergecap -a file_1.pcap file_1.pcap file_1.cap -w output_file.pcap

答案 1 :(得分:6)

正如其他答案所说,您可以在Wireshark,tcpslice或mergecap中使用File-> Merge。您还可以将文件拖到Wireshark的主窗口中。如果Wireshark / tcpdump / snort / Ntop / etc支持pcap-ng,你就可以简单地连接你的捕获文件。

答案 2 :(得分:2)

Wireshark有文件 - >合并命令应该这样做。

我还记得mergecap是一个这样做的工具,但我暂时没有使用它。

答案 3 :(得分:1)

使用Wireshark的mergecap:

mergecap ... -w output.cap

答案 4 :(得分:1)

加入多个pcap,使用此批处理脚本

所有pcap文件必须与批处理脚本所在的文件夹相同,并且第一个pcap文件必须命名为01.pcap,第二个必须是02.pcap,当您在目录中时,没有其他限制。

@echo off
@setlocal enableextensions enabledelayedexpansion

set /a var1=1
set mergecapL="C:\Program Files\Wireshark"

dir /b *.pcap > list.txt
%mergecapL%\mergecap.exe -w %cd%\out%var1%.pcap %cd%\01.pcap %cd%\02.pcap
FOR /F "skip=2 delims=" %%A IN (list.txt) DO (
    set var2=!var1!
    set /a var1+=1
    %mergecapL%\mergecap.exe -w %cd%\out!var1!.pcap %cd%\out!var2!.pcap "%cd%\%%A"
    del out!var2!.pcap
)
del list.txt

答案 5 :(得分:-3)

尝试pcapjoiner(商业广告,示例限制为1000个数据包)。