如何交织捕获的wireshark流量？

Question

假设我有一个流量1.pcapfile，它在第1、第3和第5秒捕获流量。因此，当在wireshark中查看时，有3条线，每条线代表上述时间捕获的流量。

另一个文件，流量2.pcapd，显示在第2和第4秒的流量。

我如何组合这两个文件，使流量交织成1，2，3，4，5？

编辑：

我想要合并的时间是相对时间，而不是绝对时间戳。相对时间，我的意思是，“第一个数据包和当前数据包之间的时间”，就像tshark -t r的情况一样。它不是绝对的时间，例如20151210133601。

诚然，在流量1.pcapd完成几秒钟后，我就开始捕获流量2.pcapd，但它们都是在相同的相对时间0开始的。

运行mergecap traffic1.pcap traffic2.pcap -w traffic3.pcap仍然会追加文件，而不是合并。

Answer 1

mergecap假设这两个数据包同时捕获开始。它是交错的两个捕获，只是没有使用的时间相对于开始。为此，需要将捕获的开始时间更改为匹配。

    editcap -t 14272376 capture1.pcap capture1-shifted.pcap
    editcap -t 14272376 capture2.pcap capture2-shifted.pcap     
    mergecap -w merged.pcap capture1-shifted.pcap capture2-shifted.pcap

Answer 2

来自wireshark的mergecap将根据pcap中的时间戳将两个pcap中的帧按时间顺序合并。有关更多信息，请参见合并手册。

Answer 3

尝试使用Wireshark附带的mergecap命令；它可以根据数据包时间戳合并多个文件，以便合并后的文件按时间戳顺序包含所有数据包。