假设我有在第1秒,第3秒和第5秒捕获流量的traffic1.pcap文件。因此,当在wireshark中查看时,有3条线,每条线代表在上述时间捕获的流量。
另一个文件traffic2.pcap在第2秒和第4秒显示流量。
如何组合这两个文件,使流量交错成为1,2,3,4,5?
编辑:
我想合并的时间是相对时间,而不是绝对时间戳。相对时间我的意思是“第一个数据包和当前数据包之间经过的时间”,就像tshark -t r的情况一样。这不是绝对的时间,例如20151210133601。
确实,我在traffic1.pcap完成后几秒钟开始捕获traffic2.pcap,但它们都在相同的相对时间0开始。
运行mergecap traffic1.pcap traffic2.pcap -w traffic3.pcap仍会附加文件,而不是合并。
来自wireshark的mergecap将根据pcap文件中的时间戳按时间顺序合并来自两个pcap文件的帧。有关更多信息,请参阅mergecap manual。
尝试使用Wireshark附带的mergecap命令;它可以根据数据包时间戳合并多个文件,以便合并文件按时间戳顺序包含所有数据包。
mergecap假设两个数据包捕获同时开始。它正在交织两个捕获,而不是使用相对于开始的时间。要做到这一点,您需要更改捕获的开始时间以匹配
editcap -t 14272376 capture1.pcap capture1-shifted.pcap
editcap -t 14272376 capture2.pcap capture2-shifted.pcap
mergecap -w merged.pcap capture1-shifted.pcap capture2-shifted.pcap