我有两个 pcapng 文件。每一个都是发生在同一路由器但在不同接口上的流量捕获。
由于我想在全球范围内研究路由器协议的行为,因此我考虑将这两个文件合并为一个,因此研究不同的协议会更容易。
我使用了工具mergcap,例如:
mergecap -w new_file.pcapng file1.pcapng file2.pcapng
根据mergecap的手册,文件将根据每个file1.pcapng和file2.pcapng中每个数据包的时间戳按时间顺序合并。
我现在面临的问题是,在合并发生后,我在 file1.pcapng 中的数据包在 new_file.pcapng 上找不到相同的时间戳。
有没有人做过这样的事情?我正在使用合并帽 2.0.2。
谢谢!
卢卡斯
默认情况wireshark下,从第一个捕获的数据包开始按时间顺序排列数据包。由于您合并了两个捕获文件,因此您有两个数据包是捕获的开始,但其中只有一个是文件中的第一个数据包。在合并捕获的情况下,根据第一个捕获的数据包按时间对齐数据包没有意义。
公平地说,如果wireshark在选择首先捕获的数据包之前按时间顺序对所有数据包进行排序是有意义的。目前,文件中的第一个数据包默认为时间参考(请参阅时间参考)。
谢天谢地wireshark,将数据包时间存储为自 EPOCH 以来的时间戳。这允许使用中的几个选项按时间顺序对齐合并文件中的数据包View > Time Display Format。
上面有一个限制:由于时间戳是基于 EPOCH 的,如果你从不同的机器捕获数据包,你需要确保这些机器的时钟是对齐的。
如果您的捕获文件来自不同的机器并且这些机器上的时钟未对齐,则您需要在合并之前移动其中一个捕获的时间戳。反过来,这可以用wiresharks来完成Edit > Time Shift。