Jak połączyć dwa pliki tcpdump, aby jeden ruch pojawił się po drugim w pliku? Aby być konkretnym, chcę "pomnożyć" jeden plik tcpdump, aby wszystkie sesje były powtarzane kolejno po kolei kilka razy.Jak połączyć dwa pliki tcpdump (pliki pcap)?
Odpowiedz
Wireshark ma polecenie Plik -> Połącz, które powinno to zrobić.
Pamiętam również, że narzędzie do łączenia jest narzędziem, ale nie używam go od jakiegoś czasu.
Jak mówią inne odpowiedzi, możesz użyć Plik-> Połącz w Wireshark, tcpslice lub mergecap. Możesz także przeciągnąć plik do głównego okna Wireshark. Jeśli Wireshark/tcpdump/snort/Ntop/etc obsługiwane pcap-ng, będziesz mógł po prostu połączyć swoje pliki przechwytywania.
Zastosowanie mergecap z Wireshark:
mergecap ... -w output.cap
Spróbuj pcapjoiner (komercyjny, z demo ograniczoną do 1000 pakietów).
Dlaczego warto korzystać z komercyjnego narzędzia o zamkniętym kodzie źródłowym, gdy masz już mergecap? –
mergecap może rozwiązać twój problem, ale musisz go użyć z opcją -a, w przeciwnym razie czasowo zmienia kolejność pakietów. Następnie: mergecap -a file_1.pcap file_1.pcap file_1.cap -w output_file.pcap
Należy zauważyć, że mergecap jest częścią pakietu "wireshark-common" w dystrybucjach opartych na debianach –
dołączyć do wielokrotnego Pcap, należy użyć tego skryptu wsadowego
wszystkie pliki pcap musi być w tym samym folderze, który partia skrypt zlokalizowany, a także pierwszy plik pcap musi mieć nazwę 01.pcap, a drugi musi być 02.pcap, gdy kierujesz katalogiem, nie ma innych ograniczeń.
@echo off
@setlocal enableextensions enabledelayedexpansion
set /a var1=1
set mergecapL="C:\Program Files\Wireshark"
dir /b *.pcap > list.txt
%mergecapL%\mergecap.exe -w %cd%\out%var1%.pcap %cd%\01.pcap %cd%\02.pcap
FOR /F "skip=2 delims=" %%A IN (list.txt) DO (
set var2=!var1!
set /a var1+=1
%mergecapL%\mergecap.exe -w %cd%\out!var1!.pcap %cd%\out!var2!.pcap "%cd%\%%A"
del out!var2!.pcap
)
del list.txt
Ale nie wszystkie po prostu scalają dane pakietowe, nie dbając o kolejne numery i przesuwanie pakietów w czasie, tak aby jeden segment konkatenacji został umieszczony po drugim w czasie. –
Jeśli używasz Plik-> Scal lub mergecap, masz możliwość wstępnego dodawania, scalania chronologicznie (przeplatanie według znaczników czasu) lub dołączania. –