Comment concaténer deux fichiers tcpdump (fichiers pcap)

Comment concaténer deux tcpdump fichiers, de sorte que la circulation apparaît après l'autre dans le fichier? Pour être concret, je veux "multiplier" un tcpdump fichier, de sorte que toutes les sessions seront répétés, l'un après l'autre de manière séquentielle à quelques reprises.

source d'informationauteur

  1. 26

    mergecap peut résoudre votre problème, mais vous devez l'utiliser avec '- ' option, sinon il réorganise les paquets dans le temps. Alors:
    mergecap -un file_1.ppce file_1.ppce file_1.pac -o fichier_sortie.ppce

  2. 6

    Que les autres réponses-dire, vous pouvez utiliser le Fichier->Fusionner dans Wireshark, tcpslice, ou mergecap. Vous pouvez également faire glisser un fichier dans Wireshark la fenêtre principale. Si Wireshark/tcpdump/snort/Ntop/etc pris en charge ppce-ng, vous seriez en mesure de simplement concaténer vos fichiers de capture.

  3. 2

    Wireshark a le Fichier -> commande de Fusion qui devrait le faire.

    Je me souviens aussi mergecap être un outil pour le faire, mais je ne l'ai pas utilisé depuis un moment.

  4. 1

    Utilisation mergecap de Wireshark:

    mergecap ... -w en sortie.cap

  5. 1

    de rejoindre plusieurs ppce, utilisez ce script batch

    tous ppce fichiers doivent être dans le même dossier que le script de commandes situé et aussi la première ppce fichier doit être nommé de 01.ppce et deuxième 02.ppce lorsque vous dir le répertoire, il n'y a pas d'autre limitation.

    @echo off
@setlocal enableextensions enabledelayedexpansion

set /a var1=1
set mergecapL="C:\Program Files\Wireshark"

dir /b *.pcap > list.txt
%mergecapL%\mergecap.exe -w %cd%\out%var1%.pcap %cd%.pcap %cd%.pcap
FOR /F "skip=2 delims=" %%A IN (list.txt) DO (
    set var2=!var1!
    set /a var1+=1
    %mergecapL%\mergecap.exe -w %cd%\out!var1!.pcap %cd%\out!var2!.pcap "%cd%\%%A"
    del out!var2!.pcap
)
del list.txt
  6. -3

    Essayer pcapjoiner (commercial, avec démo limitée à 1000 paquets).