如何交错捕获的wireshark流量?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何交错捕获的wireshark流量?相关的知识,希望对你有一定的参考价值。

假设我有在第1秒,第3秒和第5秒捕获流量的traffic1.pcap文件。因此,当在wireshark中查看时,有3条线,每条线代表在上述时间捕获的流量。

另一个文件traffic2.pcap在第2秒和第4秒显示流量。

如何组合这两个文件,使流量交错成为1,2,3,4,5?

编辑:

我想合并的时间是相对时间,而不是绝对时间戳。相对时间我的意思是“第一个数据包和当前数据包之间经过的时间”,就像tshark -t r的情况一样。这不是绝对的时间,例如20151210133601。

确实,我在traffic1.pcap完成后几秒钟开始捕获traffic2.pcap,但它们都在相同的相对时间0开始。

运行mergecap traffic1.pcap traffic2.pcap -w traffic3.pcap仍会附加文件,而不是合并。

答案

来自wireshark的mergecap将根据pcap文件中的时间戳按时间顺序合并来自两个pcap文件的帧。有关更多信息,请参阅mergecap manual

另一答案

尝试使用Wireshark附带的mergecap命令;它可以根据数据包时间戳合并多个文件,以便合并文件按时间戳顺序包含所有数据包。

另一答案

mergecap假设两个数据包捕获同时开始。它正在交织两个捕获,而不是使用相对于开始的时间。要做到这一点,您需要更改捕获的开始时间以匹配

    editcap -t 14272376 capture1.pcap capture1-shifted.pcap
    editcap -t 14272376 capture2.pcap capture2-shifted.pcap     
    mergecap -w merged.pcap capture1-shifted.pcap capture2-shifted.pcap

以上是关于如何交错捕获的wireshark流量?的主要内容,如果未能解决你的问题,请参考以下文章

如何捕获所有无线网络流量wireshark和wpa2?

Wireshark localhost 流量捕获[关闭]

当Android设备设置为AP时在wireshark上捕获手机流量

使用 usbpcap/wireshark 通过 GATT 流量解码捕获的 HID

如何用wireshark查看网络流量

Wireshark+Elasticsearch+Kibana打造流量回溯系统