Wie zwei tcpdump-Dateien (PCAP-Dateien) verkettet werden

Question

Wie zwei tcpdump-Dateien verketten, so dass ein Verkehr nach dem anderen in der Datei erscheint? Um konkret zu sein, möchte ich eine tcpdump-Datei "multiplizieren", so dass alle Sitzungen nacheinander einige Male nacheinander wiederholt werden.

Answer 1

Wireshark hat den Befehl Datei -> Zusammenführen, der dies tun sollte.

Ich erinnere mich auch Mergecap ein Werkzeug zu tun, aber ich habe es seit einer Weile nicht verwendet.

Answer 2

Wie die anderen Antworten sagen, können Sie Datei-> Zusammenführen in Wireshark, Tcpslice oder Mergecap verwenden. Sie können eine Datei auch in das Hauptfenster von Wireshark ziehen. Wenn Wireshark/tcpdump/snort/Ntop/etc pcap-ng unterstützt, können Sie Ihre Capture-Dateien einfach verketten.

Answer 3

Verwenden mergecap von Wireshark:

mergecap ... -w output.cap

Answer 4

Versuchen pcapjoiner (kommerziell, mit Demo limitiert auf 1000 Pakete).

Answer 5

mergecap kann Ihr Problem lösen, aber Sie müssen es mit '-a' Option verwenden, anderenfalls werden Pakete zeitlich neu geordnet. Dann: mergecap -a file_1.pcap file_1.pcap file_1.cap -w output_file.pcap

Answer 6

mehrere pcap zu verbinden, verwenden Sie diese Batch-Skript

alle PCAP-Dateien im selben Ordner, der Batch sein müssen Skript gefunden und auch erste pcap-Datei muss 01.pcap benannt werden und zweitens muss 02.pcap sein, wenn Sie das Verzeichnis, gibt es keine andere Einschränkung.

@echo off 
@setlocal enableextensions enabledelayedexpansion 

set /a var1=1 
set mergecapL="C:\Program Files\Wireshark" 

dir /b *.pcap > list.txt 
%mergecapL%\mergecap.exe -w %cd%\out%var1%.pcap %cd%\01.pcap %cd%\02.pcap 
FOR /F "skip=2 delims=" %%A IN (list.txt) DO (
    set var2=!var1! 
    set /a var1+=1 
    %mergecapL%\mergecap.exe -w %cd%\out!var1!.pcap %cd%\out!var2!.pcap "%cd%\%%A" 
    del out!var2!.pcap 
) 
del list.txt