分区的 pcap 文件

Partitioned pcap file

我收到了一个网络流量捕获,它被分区为数百个具有以下格式的小 .pcap 文件:

name.pcap#

其中 # 是从 1 到 630 的数字。 像这样:

name.pcap1,name.pcap2,name.pcap3,...,name.pcap630

我知道所有这些都是来自一个连续的捕获,但似乎是分区的。 我没有太多使用 wireshark 的经验,而且这种类型的文件对我来说是新的。我不知道如何将它们作为一个文件来阅读。

我想知道如何才能在一个文件中使所有这些都相似?

非常感谢,

I was wondering what can I do to resemble all of them in just one file?

至少对于当前版本的 Wireshark,如果您:

  1. 无需打开文件即可启动 Wireshark - 直接启动应用程序即可;
  2. select Windows Explorer/File 资源管理器 (Windows)、Finder (macOS) 或您在GUI(其他 UN*Xes - Linux、*BSD、Solaris、AIX 等);
  3. 将它们拖到 Wireshark 中;

Wireshark 应该读取所​​有文件并将它们组合成一个文件,向您显示所有数据包。

我在 macOS 上测试过这个;我没有在 Windows 或 Ubuntu 上测试过它,但我怀疑它会起作用。

注意必须select全部文件,一次拖全部;如果您尝试一次拖动一个,它们将不会合并,Wireshark 只会关闭当前打开的一个并打开您正在拖放的文件。

或者,Wireshark 包括 mergecap,这是一种“将两个或多个捕获文件合并为一个文件”的工具。

它是一个命令行工具,因此您必须在命令行(UN*X - Linux、macOS、*BSD、Solaris、AIX 等 - 或 Windows).

命令可以是

mergecap name.pcap* -w merged.pcap

(在 UN*X 上)或

mergecap.exe name.pcap* -w merged.pcap

如果您要 运行 它而您的命令行 shell 位于存储文件的目录(文件夹)中。此命令将在该目录中放置一个名为 merged.pcap 的新文件。

您必须确保包含 mergecap 的目录在您的命令行 shell 的搜索路径中,或者必须键入完整路径名而不仅仅是 mergecap。 (.exe 在 Windows 上对于某些命令行 shell 可能不是必需的,但它不会造成伤害,并且对于其他命令行 shell 可能是必需的s.)

在大多数 UN*Xes 上,mergecap 可能在 /usr/local/bin/usr/bin 中,默认情况下它们都在命令行 shell 搜索路径中.

在 macOS 上,mergecap 可能会在 /Applications/Wireshark.app/Contents/MacOS/ 中;但是,如果您在安装 Wireshark 时选择安装 Wireshark 命令行工具,它也会位于 /usr/local/bin 中,默认情况下也位于命令行 shell 搜索路径中.

在 Windows,mergecap 可能会在 C:\Windows\Program Files\Wireshark。默认情况下,命令行 shell 搜索路径中可能 而不是 。如果你不把它放在你的命令行 shell 搜索路径中,你将不得不 运行 一个命令,例如

`"C:\Windows\Program Files\Wireshark\mergecap.exe" name.pcap* -w merged.pcap

将其添加到命令行 shell 搜索路径是一个痛苦的过程,因此使用完整路径可能更容易。

您必须包含引号字符(因为“Program Files”中有 space)。