Gavin's Linux學習手札
關於部落格
原本這個 Blog 是用來記錄研究 Linux 的學習過程, 後來變成記錄生活與工作, 這個 Blog 裡的文章已成為我不可缺少的回憶。
  • 522631

    累積人氣

  • 4

    今日人氣

    0

    訂閱人氣

合併 Wireshark 多個封包記錄檔

 一、GUI 介面
 開啟 .pcap 封包記錄檔案,按「File / Merge」選擇第二份封包記錄檔,就完成合併,但記得存檔。
 註:此方式不適用於要合併多個檔案,因為當選擇要合併第三份封包記錄檔時,Wireshark 會要求必須先存檔才能選擇合併第三份封包記錄檔,所以變成後面必須每次 Merge -> Save -> Merge -> Save.......(無窮回圈)。



二、Mergecap 指令
 1. 當有多個檔案要合併時,此方式比較容易,mergecap.exe 在 C:Program FilesWireshark 資料夾底下。

 2. 開啟命令提示字元,並 cd 至 C:Program FilesWireshark 資料夾下。

 3. mergecap 指令參數如下。

Usage: mergecap [options] -w <outfile>|- <infile> [<infile> ...]

Output:
  -a                concatenate rather than merge files.
                    default is to merge based on frame timestamps.
  -s <snaplen>      truncate packets to <snaplen> bytes of data.
  -w <outfile>|-    set the output filename to <outfile> or '-' for stdout.
  -F <capture type> set the output file type; default is pcapng.
                    an empty "-F" option will list the file types.
  -I <IDB merge mode> set the merge mode for Interface Description Blocks; default is 'all'.
                    an empty "-I" option will list the merge modes.

Miscellaneous:
  -h                display this help and exit.
  -v                verbose output.


 4. 若要合併數個封包記錄檔。
  > mergecap -w outfile.pcapng dhcp-capture.pcapng imap-1.pcapng

 5. 如果要合併十幾二十個以上的封包記錄檔,建議先將所有要合併的封包記錄檔,集中放在一個資料夾。
  > mergecap -w outfile.pcapng D:packet*


資料參考來源:
mergecap: Merging multiple capture files into one
相簿設定
標籤設定
相簿狀態