从tcpdump合并pcap文件时出错

Question

我有一些捕获文件，我试图合并。合并文件来自linux服务器( Ubuntu和Centos)、Macbook Pro和Windows机器。除了mac垃圾场，他们都表现得很好。

但是，当我试图合并来自mac的文件时，我会得到以下错误：

mergecap："scenario_4_mbp.pcap“的Record222有一个接口ID，它的文件中没有任何IDB。

我查看了特定的数据包，它是一个Dropbox同步发现协议。为了我的目的，我甚至不关心它，我只是想过滤掉它，但我似乎不能正确的过滤器。

我试着用：

ip.proto != db-lsp-disc 
ip.proto not db-lsp-disc

但是我得到了一个错误，没有任何东西被过滤。

假设我能够应用一个显示过滤器，我如何保存文件和dropbox数据包？最终，这能解决我的合并问题吗？

Answer 1

我可以用Wireshark读取和打开文件，但是我不能将它与场景中的其他文件合并。

那么这可能是mergecap中的一个bug。请在Wireshark Bugzilla上提交一个bug，如果可能的话，将其附加到演示错误的bug捕获文件中。

Answer 2

我也有同样的问题，在我的例子中，这个冒犯的文件也是用tcpdump在MacOS机器上创建的。

我能够解决这个问题，方法是在Wireshark中打开违规文件，它没有问题，然后将“另存为”保存到一个新的.pcapng文件中，然后再次运行mergecap，用新创建的副本替换违规文件。

作为常规.pcap文件的保存似乎也有效，但是文件中有一些注释(至少是接口名)，常规.pcap删除了这些注释。