Pcap捕获合并问题

Question

我有两个pcap文件

$ capinfos cap1_stego0.pcap 
File name:           cap1_stego0.pcap
File type:           Wireshark/tcpdump/... - libpcap
File encapsulation:  Raw IP
Number of packets:   713

和

$ capinfos cap1_wlan0.pcap 
File name:           cap1_wlan0.pcap
File type:           Wireshark/tcpdump/... - libpcap
File encapsulation:  Ethernet

我想合并它们，但是封装是不同的。如果我使用

mergecap -v -w asd.pcap cap1_stego0.pcap cap1_wlan0.pcap -T rawip

或

mergecap -v -w asd.pcap cap1_wlan0.pcap cap1_stego0.pcap -T rawip 

Wireshark无法识别第二个过去的文件，并将cap1_wlan0.pcap或cap1_stego0.pcap数据包分别显示为raw packet data。还可以使用"tcpslice“删除cap1_wlan0.pcap的以太网层(使用rawip封装的文件)显示无法识别的数据包数据。

我该怎么做呢？有没有一种方法可以合并不同封装的pcap，或者转换eth->rawip或rawip->eth？谢谢。

Answer 1

将RAW_IP文件转换为以太网封装文件(然后可以与其他以太网封装文件合并)的一种方法：

1. 使用tshark从RAW_IP文件中获取数据包的十六进制转储：

tshark文件名pcap- -nxr | grep -vP "^ +\d“> foo.txt

( grep用于从tshark输出中删除"summary“行)。

• 在添加虚拟以太网报头时使用text2pcap转换回pcap文件：

text2pacp -e 0x0800 foo.txt foo.pcap

如果你想保留时间戳，你将不得不使用tshark输出，以得到一个文本文件，其中包含text2pcap可以接受的格式的时间戳，还包含十六进制数据包信息。

[[ tcpslice有删除以太网头的选项吗？(查看手册页，似乎使用tcpslice从pcap文件中提取时间范围)。

如果您确实有从捕获文件中删除以太网头的方法，则在尝试使用wireshark、mergecap等读取它之前，必须确保生成的pcap文件的封装类型为RAW_IP。

还要注意，切换到mergecap的-T开关只强制使用文件中指定的封装类型；实际的封装不会改变(即没有添加/更改/删除任何字节)。]] ]

Answer 2

对于合并pcap文件，请尝试其他实用程序- tcpmerge示例合并命令：./tcpmerge asd.pcap cap1_wlan0.pcap cap1_stego0.pcap OUTFILEMERGED.pcap