Làm thế nào để nối hai tệp tcpdump (tệp pcap)

Question

Làm thế nào để nối hai tệp tcpdump, sao cho một lưu lượng truy cập sẽ xuất hiện sau một tệp khác trong tệp? Để được cụ thể tôi muốn "nhân" một tập tin tcpdump, để tất cả các phiên sẽ được lặp đi lặp lại một sau một vài lần liên tục.

Answer 1

Wireshark có lệnh Tập tin>> Hợp nhất sẽ thực hiện việc này.

Tôi cũng nhớ việc sáp nhập là công cụ để thực hiện việc này, nhưng tôi đã không sử dụng nó trong một thời gian.

Answer 2

Như các câu trả lời khác nói, bạn có thể sử dụng Tệp-> Hợp nhất trong Wireshark, tcpslice hoặc mergecap. Bạn cũng có thể kéo tệp vào cửa sổ chính của Wireshark. Nếu Wireshark/tcpdump/snort/Ntop/etc hỗ trợ pcap-ng, bạn có thể chỉ cần ghép nối các tệp chụp của bạn.

Answer 3

Sử dụng mergecap từ Wireshark:

mergecap ... -w output.cap

Answer 4

Hãy thử pcapjoiner (thương mại, với bản demo giới hạn trong 1000 gói).

Answer 5

mergecap có thể giải quyết vấn đề của bạn, nhưng bạn phải sử dụng tùy chọn '-a', nếu không nó sẽ sắp xếp lại các gói theo thời gian. Sau đó: mergecap -a file_1.pcap file_1.pcap file_1.cap -w output_file.pcap

Answer 6

tham gia nhiều pcap, sử dụng kịch bản đợt này

tất cả các file pcap phải nằm trong cùng một thư mục mà hàng loạt tập lệnh nằm và tệp pcap đầu tiên phải được đặt tên là 01.pcap và thứ hai phải là 02.pcap khi bạn dir thư mục, không có giới hạn nào khác.

@echo off 
@setlocal enableextensions enabledelayedexpansion 

set /a var1=1 
set mergecapL="C:\Program Files\Wireshark" 

dir /b *.pcap > list.txt 
%mergecapL%\mergecap.exe -w %cd%\out%var1%.pcap %cd%\01.pcap %cd%\02.pcap 
FOR /F "skip=2 delims=" %%A IN (list.txt) DO (
    set var2=!var1! 
    set /a var1+=1 
    %mergecapL%\mergecap.exe -w %cd%\out!var1!.pcap %cd%\out!var2!.pcap "%cd%\%%A" 
    del out!var2!.pcap 
) 
del list.txt