Как я могу чередовать захваченный трафик wireshark?

Предположим, у меня есть файл traffic1.pcap, который фиксирует трафик на 1-й, 3-й и 5-й секундах. Следовательно, при просмотре в wireshark было 3 строки, каждая из которых представляла трафик, захваченный в указанное выше время.

И еще один файл traffic2.pcap, показывающий трафик на 2-й и 4-й секундах.

Как я могу объединить два файла, чтобы трафик чередовался, чтобы стать 1, 2, 3, 4, 5?

ИЗМЕНИТЬ:

Время, которое я хотел бы объединить, - это относительное время, а не абсолютная отметка времени. Под относительным временем я подразумеваю «время, прошедшее между первым пакетом и текущим пакетом», как в случае с tshark -t r. Это не абсолютное время, например 20151210133601.

Это правда, что я начал захват traffic2.pcap через несколько секунд после завершения traffic1.pcap, но оба они начинаются в одно и то же относительное время 0.

Запуск mergecap traffic1.pcap traffic2.pcap -w traffic3.pcap по-прежнему добавляет файл, а не объединяет.


network-traffic wireshark traffic tshark
person Curioso    schedule 08.12.2015    source источник
comment
Привет, Куриозо. Здесь это не по теме; посмотрите, о чем вы можете спросить на SO здесь.   -  person edmz    schedule 08.12.2015

Ответы (3)


arrow_upward
0
arrow_downward

mergecap от wireshark объединит кадры из двух файлов pcap в хронологическом порядке на основе меток времени в файлах pcap. Дополнительные сведения см. в руководстве по слиянию.

person Erik Johannessen    schedule 08.12.2015
comment
Нет, даже без переключателя -a он по-прежнему добавляет два файла вместо чередования. mergecap traffic1.pcap traffic2.pcap -w mtraffic.pcap - person Curioso; 09.12.2015
comment
Не было бы флага -a, если бы он всегда добавлялся, поэтому, если он не объединяет файлы на основе метки времени, в mergecap есть ошибка. Сообщите об ошибке на Bugzilla Wireshark и прикрепите файлы, которые вы пытаетесь объединить, к ошибке. - person ; 10.12.2015

arrow_upward
0
arrow_downward

Попробуйте использовать команду mergecap, которая поставляется с Wireshark; он может объединять несколько файлов на основе меток времени пакетов, чтобы в объединенном файле были все пакеты в порядке меток времени.

person Community    schedule 09.12.2015

arrow_upward
0
arrow_downward

mergecap предполагает, что захват двух пакетов начинается одновременно. Он чередует два захвата, просто не используя время относительно начала. Для этого вам нужно изменить время начала захвата, чтобы оно соответствовало

    editcap -t 14272376 capture1.pcap capture1-shifted.pcap
    editcap -t 14272376 capture2.pcap capture2-shifted.pcap     
    mergecap -w merged.pcap capture1-shifted.pcap capture2-shifted.pcap
person Lex Childs    schedule 25.04.2019
comment
флаг -t сдвигает время. он не устанавливает время. вам нужно сравнить два захвата, чтобы узнать, сколько секунд нужно сдвинуть - person Lex Childs; 25.04.2019