分区pcap

Question

我收到了一个被分区的网络流量捕获，它是具有以下格式的数百个小.pcap文件：

name.pcap#

其中#是从1到630之间的数字。就像这样：

name.pcap1,name.pcap2,name.pcap3,...,name.pcap630

我知道他们都是从一个连续捕获，但这似乎是分区的。我在wireshark的工作经验不多，这种类型的文件对我来说是新的。我不知道怎么把它们当作一个文件来读。

我在想，在一个文件中，我能做些什么来模仿所有的人呢？

事先非常感谢，

Answer 1

我在想，在一个文件中，我能做些什么来模仿所有的人呢？

至少使用当前版本的Wireshark，如果您：

1. 在不打开文件的情况下启动Wireshark --直接启动应用程序；
2. 选择/ ( Windows )、Finder (macOS)或您在GUI中使用的任何文件管理器(其他UN*Xes、*BSD、Solaris、AIX等)中的所有630个文件；
3. 把他们拖到Wireshark；

Wireshark应该读取所有文件并将它们合并成一个文件，显示所有数据包。

我在macOS上测试了它；我还没有在Windows或例如Ubuntu上测试它，但我怀疑它会起作用。

请注意，您必须选择所有文件并在一次操作中将它们全部拖动；如果尝试一次拖动它们，它们将不会合并，Wireshark只会关闭当前打开的文件并打开正在拖放的文件。

或者，Wireshark包含麦加，它是一个“将两个或多个捕获文件合并到一个”的工具。

它是一个命令行工具，所以您必须在命令行(UN* Solaris、macOS、*BSD、Solaris、AIX等)使用它。

这个命令应该是这样的

mergecap name.pcap* -w merged.pcap

(关于联合国*Xs)或

mergecap.exe name.pcap* -w merged.pcap

如果您要在命令行shell位于存储文件的目录(文件夹)中运行它。此命令将在该目录中放置一个名为merged.pcap的新文件。

您必须确保包含mergecap的目录位于命令行shell的搜索路径中，或者必须键入完整的路径名，而不仅仅是mergecap。( .exe在Windows上可能不需要使用某些命令行shell，但它并不有害，对于其他命令行shell也可能是必要的。)

在大多数UN*Xes上，mergecap可能都位于/usr/local/bin或/usr/bin中，这两种都在命令行shell搜索路径中。

在macOS上，mergecap可能位于/Applications/Wireshark.app/Contents/MacOS/中；但是，如果您在安装Wireshark时选择安装Wireshark命令行工具，那么它也将位于/usr/local/bin中，这也是默认情况下位于命令行shell搜索路径中的。

在Windows上，mergecap可能会出现在C:\Windows\Program Files\Wireshark中。默认情况下，这可能不在命令行shell搜索路径中。如果不将其放入命令行shell搜索路径中，则必须运行以下命令：

`"C:\Windows\Program Files\Wireshark\mergecap.exe" name.pcap* -w merged.pcap

将其添加到命令行shell搜索路径是一个痛苦的过程，因此使用完整路径可能更容易。

您必须包括引号字符(因为"Program“中有一个空格)。