Jak połączyć dwa pliki tcpdump (pliki pcap)?

Question

Jak połączyć dwa pliki tcpdump, aby jeden ruch pojawił się po drugim w pliku? Aby być konkretnym, chcę "pomnożyć" jeden plik tcpdump, aby wszystkie sesje były powtarzane kolejno po kolei kilka razy.

Answer 1

Wireshark ma polecenie Plik -> Połącz, które powinno to zrobić.

Pamiętam również, że narzędzie do łączenia jest narzędziem, ale nie używam go od jakiegoś czasu.

Answer 2

Jak mówią inne odpowiedzi, możesz użyć Plik-> Połącz w Wireshark, tcpslice lub mergecap. Możesz także przeciągnąć plik do głównego okna Wireshark. Jeśli Wireshark/tcpdump/snort/Ntop/etc obsługiwane pcap-ng, będziesz mógł po prostu połączyć swoje pliki przechwytywania.

Answer 3

Zastosowanie mergecap z Wireshark:

mergecap ... -w output.cap

Answer 4

Spróbuj pcapjoiner (komercyjny, z demo ograniczoną do 1000 pakietów).

Answer 5

mergecap może rozwiązać twój problem, ale musisz go użyć z opcją -a, w przeciwnym razie czasowo zmienia kolejność pakietów. Następnie: mergecap -a file_1.pcap file_1.pcap file_1.cap -w output_file.pcap

Answer 6

dołączyć do wielokrotnego Pcap, należy użyć tego skryptu wsadowego

wszystkie pliki pcap musi być w tym samym folderze, który partia skrypt zlokalizowany, a także pierwszy plik pcap musi mieć nazwę 01.pcap, a drugi musi być 02.pcap, gdy kierujesz katalogiem, nie ma innych ograniczeń.

@echo off 
@setlocal enableextensions enabledelayedexpansion 

set /a var1=1 
set mergecapL="C:\Program Files\Wireshark" 

dir /b *.pcap > list.txt 
%mergecapL%\mergecap.exe -w %cd%\out%var1%.pcap %cd%\01.pcap %cd%\02.pcap 
FOR /F "skip=2 delims=" %%A IN (list.txt) DO (
    set var2=!var1! 
    set /a var1+=1 
    %mergecapL%\mergecap.exe -w %cd%\out!var1!.pcap %cd%\out!var2!.pcap "%cd%\%%A" 
    del out!var2!.pcap 
) 
del list.txt