2 つの pcapng ファイルがあります。それぞれが、同じルーターで異なるインターフェイスで発生したトラフィック キャプチャです。
ルーターのプロトコルの動作をグローバルに調査したいので、これら 2 つのファイルを 1 つにまとめることを考えました。これにより、異なるプロトコルを調査しやすくなります。
次のようなツールmergcapを使用しました。
mergecap -w new_file.pcapng file1.pcapng file2.pcapng
mergecap のマニュアルによると、ファイルは各 file1.pcapng および file2.pcapng 内の各パケットのタイムスタンプに基づいて時系列にマージされます。
私が今直面している問題は、マージが行われた後、file1.pcapng にあったパケットが new_file.pcapng の同じタイムスタンプで見つからないことです。
誰かが前にこのようなことをしたことがありますか? 私はmergecap 2.0.2を使用しています。
ありがとう!
ルーカス
デフォルトwiresharkでは、最初にキャプチャされたパケットから時系列にパケットを並べ替えます。2 つのキャプチャ ファイルをマージしたため、キャプチャの開始である 2 つのパケットがありますが、そのうちの 1 つだけがファイルの最初のパケットです。マージされたキャプチャの場合、最初にキャプチャされたパケットに基づいてパケットを時間で整列させることは意味がありません。
公平を期すwiresharkために、どのパケットが最初にキャプチャされたかを選択する前に、すべてのパケットを時系列順に並べると意味があります。現在、ファイルの最初のパケットはデフォルトで時間参照 (時間参照を参照) です。
ありがたいことwiresharkに、エポック以降のタイムスタンプとしてパケット時間を保存します。これにより、 のいくつかのオプションを使用して、マージされたファイル内のパケットを時間順に並べることができますView > Time Display Format。
上記には 1 つの制限があります。タイムスタンプは EPOCH に基づいているため、異なるマシンからパケットをキャプチャする場合は、これらのマシンのクロックが一致していることを確認する必要があります。
キャプチャ ファイルが別のマシンから生成され、これらのマシンのクロックが一致していない場合は、マージする前にいずれかのキャプチャのタイムスタンプをシフトする必要があります。wiresharkこれは、 sで実現できますEdit > Time Shift。