Come concatenare due file tcpdump (file pcap)

Question

Come concatenare due file tcpdump, in modo che un file venga visualizzato dopo l'altro nel file? Per essere concreto, voglio "moltiplicare" un file tcpdump, in modo che tutte le sessioni vengano ripetute una dopo l'altra alcune volte.

Answer 1

Wireshark ha il comando File -> Unisci che dovrebbe fare ciò.

Ricordo anche che il mergecap è uno strumento per farlo, ma non l'ho usato da un po '.

Answer 2

Come le altre risposte dicono, è possibile utilizzare File-> Unisci in Wireshark, tcpslice o mergecap. Puoi anche trascinare un file nella finestra principale di Wireshark. Se Wireshark/tcpdump/snort/Ntop/etc supporta pcap-ng, potresti semplicemente concatenare i tuoi file di acquisizione.

Answer 3

Usa mergecap da Wireshark:

mergecap ... w output.cap

Answer 4

Prova pcapjoiner (commerciale, con demo limitata a 1000 pacchetti).

Answer 5

mergecap può risolvere il problema, ma è necessario utilizzarlo con l'opzione '-a', altrimenti riordina i pacchetti temporaneamente. Poi: mergecap -a file_1.pcap file_1.pcap file_1.cap -w output_file.pcap

Answer 6

di unirsi pcap multipla, utilizzare questo script batch

tutti i file pcap devono essere nella stessa cartella che lotto lo script si trova e anche il primo file pcap deve essere chiamato 01.pcap e il secondo deve essere 02.pcap quando si dirige la directory, non ci sono altre limitazioni.

@echo off 
@setlocal enableextensions enabledelayedexpansion 

set /a var1=1 
set mergecapL="C:\Program Files\Wireshark" 

dir /b *.pcap > list.txt 
%mergecapL%\mergecap.exe -w %cd%\out%var1%.pcap %cd%\01.pcap %cd%\02.pcap 
FOR /F "skip=2 delims=" %%A IN (list.txt) DO (
    set var2=!var1! 
    set /a var1+=1 
    %mergecapL%\mergecap.exe -w %cd%\out!var1!.pcap %cd%\out!var2!.pcap "%cd%\%%A" 
    del out!var2!.pcap 
) 
del list.txt