Tôi đang cố gắng hợp nhất 15 tệp pcap bằng wireshark. Việc sáp nhập thành công. Tôi đang sử dụng chức năng nối thêm để tệp thứ hai được thêm vào dưới cùng của tệp đầu tiên. Nhưng khi điều này được thực hiện, tôi nhận được giá trị -ve trong cột thời gian. Làm thế nào tôi có thể thay đổi điều này? Những gì tôi dự định làm là, thay thế 15 tệp nhỏ hơn này bằng một tệp được hợp nhất này.
Câu trả lời:
Bạn cần sử dụng mergecapmà không có tùy chọn -a. Điều này sẽ hợp nhất chúng theo thời gian dựa trên dấu thời gian gói.
mergecap -w mergedfile.pcap files*.pcap
Điều này có thể được thực hiện bằng cách sử dụng joincap .
go get -u github.com/assafmo/joincap
Hợp nhất 1.pcapvà 2.pcap:
joincap 1.pcap 2.pcap > merged.pcap
Tôi đã viết joincapđể khắc phục những gì tôi tin là xử lý lỗi xấu mergecapvà tcpslice.
Để biết thêm chi tiết, hãy truy cập https://github.com/assafmo/joincap .
mergecaplệnh.