Saya mencoba untuk menggabungkan 15 file pcap menggunakan wireshark. Penggabungan berhasil. Saya menggunakan fungsi menambahkan sehingga file kedua baru saja ditambahkan ke bagian bawah file pertama. Tetapi ketika ini dilakukan, saya mendapatkan nilai -ve dalam kolom waktu. Bagaimana saya bisa mengubahnya? Yang ingin saya lakukan adalah, ganti 15 file yang lebih kecil ini dengan file yang digabungkan ini.
Jawaban:
Anda perlu menggunakan mergecaptanpa opsi -a. Ini akan menggabungkan mereka secara kronologis berdasarkan cap waktu paket.
mergecap -w mergedfile.pcap files*.pcap
Ini dapat dilakukan dengan menggunakan joincap .
go get -u github.com/assafmo/joincap
Untuk menggabungkan 1.pcapdan 2.pcap:
joincap 1.pcap 2.pcap > merged.pcap
Saya menulis joincapuntuk mengatasi apa yang saya yakini sebagai penanganan kesalahan yang buruk oleh mergecapdan tcpslice.
Untuk detail lebih lanjut, kunjungi https://github.com/assafmo/joincap .
mergecapperintahnya.