如何在文件合并后判断数据包来自哪个文件？

Question

我正在处理大量的pcap从众多的收集来源。我需要以编程的方式过滤，并为此使用tshark，所以我首先使用mergecap将所有文件合并在一起。这方面的问题是，我还需要收集点信息，这些信息只能在捕获文件名中使用。我试着使用社论来添加每个包的注释，但是指定原始文件是站不住脚的(请参阅下面的解释)。有什么想法吗?在pcap合并后如何跟踪原始文件？

--为什么解决方案不能工作--我考虑过在合并(How to add a comment to all packets in numerous pcap files before merging into a single file)之前使用来在每个数据包上添加每个数据包的注释，但是这种方法的问题是，社论要求在命令行中单独指定每个数据包注释(不能指定数据包的范围)。这是成千上万的注释，命令行不支持这一点。此外，如果我一次只运行几个注释，它每次都会重写整个文件，导致数千个文件重写。也不可行。

Answer 1

如果您的原始捕获文件是.pcapng格式的，那么每个捕获文件都包含一个接口描述块或IDB。当您运行mergecap合并它们时，可以使用-I none选项指定IDB不合并。这样，每个原始文件的接口编号都是唯一的，您可以添加一个列，该列可以根据接口ID轻松区分每个数据包的来源，或者可以应用显示筛选器将这些数据包与特定捕获文件隔离开来。

要使用的筛选器或列将是frame.interface_id字段，但如果这些字段值都有不同的值，则也可以通过frame.interface_name或frame.interface_description进行筛选，但不能保证这些字段是唯一的，因为接口名称和/或描述可能包含相同的信息，即使捕获文件来自不同的计算机。