如何连接两个tcpdump文件,以便一个流量会在文件中出现?具体来说,我想“繁殖”一个tcpdump文件,以便所有会话将一个接一个地重复连续几次。
答案 0 :(得分:27)
mergecap可以解决您的问题,但您必须使用'-a'选项,否则它会暂时重新排序数据包。然后: mergecap -a file_1.pcap file_1.pcap file_1.cap -w output_file.pcap
答案 1 :(得分:6)
正如其他答案所说,您可以在Wireshark,tcpslice或mergecap中使用File-> Merge。您还可以将文件拖到Wireshark的主窗口中。如果Wireshark / tcpdump / snort / Ntop / etc支持pcap-ng,你就可以简单地连接你的捕获文件。
答案 2 :(得分:2)
Wireshark有文件 - >合并命令应该这样做。
我还记得mergecap是一个这样做的工具,但我暂时没有使用它。
答案 3 :(得分:1)
使用Wireshark的mergecap:
mergecap ... -w output.cap
答案 4 :(得分:1)
加入多个pcap,使用此批处理脚本
所有pcap文件必须与批处理脚本所在的文件夹相同,并且第一个pcap文件必须命名为01.pcap,第二个必须是02.pcap,当您在目录中时,没有其他限制。
@echo off
@setlocal enableextensions enabledelayedexpansion
set /a var1=1
set mergecapL="C:\Program Files\Wireshark"
dir /b *.pcap > list.txt
%mergecapL%\mergecap.exe -w %cd%\out%var1%.pcap %cd%\01.pcap %cd%\02.pcap
FOR /F "skip=2 delims=" %%A IN (list.txt) DO (
set var2=!var1!
set /a var1+=1
%mergecapL%\mergecap.exe -w %cd%\out!var1!.pcap %cd%\out!var2!.pcap "%cd%\%%A"
del out!var2!.pcap
)
del list.txt
答案 5 :(得分:-3)
尝试pcapjoiner(商业广告,示例限制为1000个数据包)。