如何拼接两个tcpdump文件,让一个流量一个接一个地出现在文件中?具体来说,我想“倍增”一个 tcpdump 文件,以便所有会话将依次重复几次。
anon
问问题
36269 次
6 回答
33
mergecap 可以解决您的问题,但您必须将它与“-a”选项一起使用,否则它会临时重新排序数据包。然后: mergecap -a file_1.pcap file_1.pcap file_1.cap -w output_file.pcap
于 2012-01-18T09:30:48.500 回答
7
正如其他答案所说,您可以在 Wireshark、tcpslice 或 mergecap 中使用 File->Merge。您还可以将文件拖到 Wireshark 的主窗口中。如果 Wireshark/tcpdump/snort/Ntop/etc 支持 pcap-ng,您可以简单地连接您的捕获文件。
于 2009-05-26T21:42:45.710 回答
2
Wireshark 有 File -> Merge 命令可以执行此操作。
我还记得 mergecap 是一个这样做的工具,但我有一段时间没有使用它了。
于 2009-05-26T21:32:26.120 回答
1
使用 Wireshark 的 mergecap:
合并帽 ... -w output.cap
于 2010-12-06T02:55:27.697 回答
1
要加入多个 pcap,请使用此批处理脚本
所有 pcap 文件必须位于批处理脚本所在的同一文件夹中,并且当您 dir 目录时,第一个 pcap 文件必须命名为 01.pcap,第二个必须命名为 02.pcap,没有其他限制。
@echo off
@setlocal enableextensions enabledelayedexpansion
set /a var1=1
set mergecapL="C:\Program Files\Wireshark"
dir /b *.pcap > list.txt
%mergecapL%\mergecap.exe -w %cd%\out%var1%.pcap %cd%\01.pcap %cd%\02.pcap
FOR /F "skip=2 delims=" %%A IN (list.txt) DO (
set var2=!var1!
set /a var1+=1
%mergecapL%\mergecap.exe -w %cd%\out!var1!.pcap %cd%\out!var2!.pcap "%cd%\%%A"
del out!var2!.pcap
)
del list.txt
于 2016-08-29T07:44:54.383 回答
-4
尝试pcapjoiner(商业,演示限制为 1000 个数据包)。
于 2011-11-08T18:44:55.780 回答