2つのtcpdumpファイル(pcapファイル)を連結する方法
2つのtcpdumpファイルを連結して、1つのトラフィックがファイルに次々に表示されるようにするにはどうすればよいですか?具体的には、1つのtcpdumpファイルを「乗算」して、すべてのセッションが次々に数回連続して繰り返されるようにします。
mergecapで問題を解決できますが、「-a」オプションを指定して使用する必要があります。そうしないと、パケットが一時的に並べ替えられます。次に:mergecap -a file_1.pcap file_1.pcap file_1.cap -w output_file.pcap
他の回答が言うように、Wireshark、tcpslice、またはmergecapで[ファイル]-> [マージ]を使用できます。ファイルをWiresharkのメインウィンドウにドラッグすることもできます。 Wireshark/tcpdump/snort/Ntop/etcがpcap-ngをサポートしている場合は、キャプチャファイルを簡単に連結できます。
Wiresharkには、これを行う必要がある[ファイル]-> [マージ]コマンドがあります。
また、mergecapがそのためのツールであることも覚えていますが、しばらく使用していません。
Wiresharkのmergecapを使用します。
mergecap ... -w output.cap
複数のpcapに参加するには、このバッチスクリプトを使用します
すべてのpcapファイルは、バッチスクリプトが配置されているのと同じフォルダーにある必要があります。また、最初のpcapファイルの名前は01.pcapで、2番目のファイルは02.pcapである必要があります。ディレクトリを指定する場合、他の制限はありません。
@echo off
@setlocal enableextensions enabledelayedexpansion
set /a var1=1
set mergecapL="C:\Program Files\Wireshark"
dir /b *.pcap > list.txt
%mergecapL%\mergecap.exe -w %cd%\out%var1%.pcap %cd%\01.pcap %cd%\02.pcap
FOR /F "skip=2 delims=" %%A IN (list.txt) DO (
set var2=!var1!
set /a var1+=1
%mergecapL%\mergecap.exe -w %cd%\out!var1!.pcap %cd%\out!var2!.pcap "%cd%\%%A"
del out!var2!.pcap
)
del list.txt