Cómo concatenar dos archivos tcpdump (archivos pcap)

Question

Cómo concatenar dos archivos tcpdump, para que un tráfico aparezca después de otro en el archivo? Para ser concreto, quiero "multiplicar" un archivo tcpdump, de modo que todas las sesiones se repitan una tras otra secuencialmente pocas veces.

Answer 1

Wireshark tiene el comando Archivo -> Combinar que debería hacer esto.

También recuerdo que mergecap es una herramienta para hacerlo, pero no lo he usado desde hace tiempo.

Answer 2

Como dicen las otras respuestas, puede usar Archivo-> Fusionar en Wireshark, tcpslice o mergecap. También puede arrastrar un archivo a la ventana principal de Wireshark. Si Wireshark/tcpdump/snort/Ntop/etc admitiera pcap-ng, podría simplemente concatenar sus archivos de captura.

Answer 3

Uso de Wireshark mergecap:

mergecap ... -w output.cap

Answer 4

Trate pcapjoiner (comercial, la demostración limitada a 1000 paquetes).

Answer 5

mergecap puede resolver su problema, pero debe usarlo con la opción '-a', de lo contrario, reordena los paquetes temporalmente. Entonces: mergecap -a file_1.pcap file_1.pcap file_1.cap -w output_file.pcap

Answer 6

a unir múltiples PCAP, utilice esta secuencia de comandos por lotes

todos los archivos pcap debe estar en la misma carpeta que por lotes script localizado y también el primer archivo pcap debe llamarse 01.pcap y el segundo debe ser 02.pcap cuando dirija el directorio, no hay otra limitación.

@echo off 
@setlocal enableextensions enabledelayedexpansion 

set /a var1=1 
set mergecapL="C:\Program Files\Wireshark" 

dir /b *.pcap > list.txt 
%mergecapL%\mergecap.exe -w %cd%\out%var1%.pcap %cd%\01.pcap %cd%\02.pcap 
FOR /F "skip=2 delims=" %%A IN (list.txt) DO (
    set var2=!var1! 
    set /a var1+=1 
    %mergecapL%\mergecap.exe -w %cd%\out!var1!.pcap %cd%\out!var2!.pcap "%cd%\%%A" 
    del out!var2!.pcap 
) 
del list.txt