使用Wireshark/mergecap合并两个文件后丢失数据包

Question

我有两个pcapng文件。每一次都是发生在同一路由器但在不同接口上的流量捕获。

因为我想研究全局路由器协议的行为，所以我想把这两个文件合并成一个文件，这样就更容易研究不同的协议。

我使用了工具mergcap，如下所示：

mergecap -w new_file.pcapng file1.pcapng file2.pcapng

根据mergecap的手册，这些文件将根据每个file1.pcapng和file2.pcapng中每个包的时间戳按时间顺序合并。

我现在面临的问题是，在合并发生后，我在file1.pcapng中的数据包在new_file.pcapng上找不到具有相同时间戳的数据包。

以前有没有人做过这样的事情？我使用的是mergecap 2.0.2。

谢谢!

卢卡斯

Answer 1

默认情况下，wireshark从第一个捕获的数据包开始按时间顺序对数据包进行排序。由于您合并了两个捕获文件，因此您有两个数据包作为捕获的开始，但其中只有一个是文件中的第一个数据包。在合并捕获的情况下，基于第一个捕获的数据包按时间对齐数据包没有意义。

公平地说，如果wireshark在挑选首先捕获的数据包之前按时间顺序对所有数据包进行排序，这可能是有意义的。目前，默认情况下，文件中的第一个数据包是时间参考(参见time references)。

值得庆幸的是，wireshark将数据包时间存储为自纪元以来的时间戳。这允许使用View > Time Display Format中的几个选项按时间顺序对齐合并文件中的数据包。

从不同的机器捕获

上面有一个限制:因为时间戳是基于纪元的，如果你从不同的机器捕获数据包，你需要确保这些机器的时钟是对齐的。

如果您的捕获文件来自不同的机器，并且这些机器上的时钟不一致，则需要在合并之前移动其中一个捕获的时间戳。反过来，这可以通过wireshark的Edit > Time Shift来完成。